MODELO DE GESTIÓN DE RIESGOS DE TI QUE ......conceptos de gestión de riesgos de TI no son...

UNIVERSIDAD CATÓLICA SANTO TORIBIO DE MOGROVEJO

ESCUELA DE POSTGRADO

MODELO DE GESTIÓN DE RIESGOS DE TI QUE CONTRIBUYE A LA OPERACIÓN DE LOS PROCESOS DE GESTIÓN COMERCIAL DE LAS EMPRESAS DEL SECTOR

DE SANEAMIENTO DEL NORTE DEL PERÚ

Autores: Ing. Lissette Angélica Moscoso Anaya

Ing. Edgard Esaú Peña Núñez Ing. María del Carmen Soto Castrillón

TESIS PARA OPTAR EL GRADO ACADÉMICO DE MAESTRO EN INGENIERÍA DE SISTEMAS Y COMPUTACIÓN CON MENCIÓN EN

DIRECCIÓN ESTRATÉGICA DE TECNOLOGÍAS DE INFORMACIÓN

Chiclayo, Perú 2018

2

MODELO DE GESTIÓN DE RIESGOS DE TI QUE CONTRIBUYE A LA OPERACIÓN DE LOS PROCESOS DE GESTIÓN COMERCIAL DE LAS EMPRESAS DEL SECTOR

DE SANEAMIENTO DEL NORTE DEL PERÚ

POR

Ing. Lissette Angélica Moscoso Anaya Ing. Edgard Esaú Peña Núñez

Ing. María del Carmen Soto Castrillón

Tesis presentada a la Escuela de Postgrado de la Universidad Católica Santo Toribio de Mogrovejo, para optar el Grado Académico de MAESTRO EN INGENIERÍA DE SISTEMAS Y

COMPUTACIÓN CON MENCIÓN EN DIRECCIÓN ESTRATÉGICA DE TECNOLOGÍAS DE INFORMACIÓN

APROBADO POR

_________________________

…………………………..

Presidenta de Jurado

_________________________

………………………….

Secretaria de Jurado

___________________________

………………………….

Vocal/Asesor de Jurado

CHICLAYO, 2018

3

Dedicatoria

A Dios por permitirme llegar hasta aquí. A mi hijo Rómulo, que me

motiva a seguir siempre adelante. A mi abuela Victoria, quien llena mi

vida de amor. A mi madre Lisbeth ejemplo continuo de lucha y

perseverancia en la vida.

María del Carmen

A Dios por permitirme culminar mi maestría exitosamente. A mis padres

Hildebrando y María que son mi motivación para ser mejor como

persona y profesional cada día. A mis hermanos Omar y Katherine por

su constante apoyo.

Edgard Esaú

A Dios ya que gracias a él he logrado concluir mi carrera. A mis padres

Edgar y Luz que han sido un pilar fundamental en mi formación como

profesional. A mis hermanos Liliana y Edgar, por sus palabras y

compañía. A mis sobrinos porque siempre estuvieron a mi lado.

Lissette Angélica

4

Epígrafe

“Nunca consideres el estudio como un deber, sino como una

oportunidad para penetrar en el maravilloso mundo del

saber”

- Albert Einstein.

5

Agradecimiento

A nuestra asesora Mtra. María Isabel Arangurí, por su apoyo en el

desarrollo de este proyecto, brindándonos sus recomendaciones y

experiencia profesional. A los Mtro. Juan Dávila Ramírez, Mtro. Gregorio

León Tenorio y Mtro. Ernesto Celi Arévalo, quienes nos apoyaron en la

evaluación de nuestro proyecto y lo enriquecieron con sus valiosos

aportes.

6

ÍNDICE

RESUMEN .............................................................................................................. 12

ABSTRACT ............................................................................................................. 14

INTRODUCCIÓN ................................................................................................... 15

CAPÍTULO I: MARCO TEÓRICO CONCEPTUAL .................................................. 21

Antecedentes del problema................................................................................ 21

1.1. Gestión de riesgos de tecnologías de información ................................ 26

1.2. Estándares ..................................................................................... 28

1.3. Metodologías de gestión de riesgos de información ................ 35

COBIT 5 ......................................................................................... 35

CRAMM ......................................................................................... 37

MAGERIT ...................................................................................... 40

OCTAVE ........................................................................................ 41

NIST 800-30 ................................................................................... 43

1.4. Definición de términos básicos .................................................. 44

CAPÍTULO II: MATERIALES Y MÉTODOS ............................................................ 47

2.1. Tipo de estudio y Diseño de Contrastación de Hipótesis ....................... 47

2.2. Población .................................................................................................... 48

2.3. Muestra 48

2.4. Muestreo ..................................................................................................... 48

2.5. Técnicas e instrumentos de recolección de datos.................................. 49

2.6. Plan de procesamiento para análisis de datos ........................................ 49

CAPÍTULO III: RESULTADOS Y DISCUSIÓN ........................................................ 51

Fase N° 01: Definición del contexto ................................................................... 52

Proceso 1: Definición del contexto interno ...................................................... 52

Proceso 2: Definición del contexto externo ..................................................... 55

Fase N° 02: Generar perfil de activos ................................................................. 58

Proceso 1: Identificar los conocimientos de dirección ................................... 58

Actividad 1: Identificar de los activos críticos .......................... 58

Actividad 2: Describir de las áreas de preocupación ............... 61

Actividad 3: Definir de requisitos de seguridad para los activos críticos. .......................................................................................... 63

Actividad 4: Identificar las estrategias actuales de protección 65

Proceso 2: Identificar los conocimientos en el área de gestión operativa .... 67



Actividad 3: Definir de los requisitos de seguridad para los activos críticos ............................................................................. 69


Proceso 3: Identificar los conocimientos del personal ................................... 70

7



Actividad 3: Definir de requisitos de seguridad para los activos críticos ........................................................................................... 72


Proceso 4: Identificar activos a gestionar ......................................................... 74

Actividad 1: Ponderar y priorizar la gestión de activos más críticos ........................................................................................... 74

Fase N° 03: Identificar los riesgos ....................................................................... 76

Proceso 1: Crear perfil de amenaza ................................................................... 76

Actividad 1: Clasificación de activos ......................................... 76

Actividad 2: Dependencia de activos ......................................... 79

Actividad 3: Valoración de activos ............................................. 81

Actividad 4: Identificación de las amenazas y vulnerabilidades ....................................................................................................... 86

FASE N° 04: Análisis de riesgos ........................................................................... 94

Proceso 1: Determinación de posibilidad ......................................................... 94

Proceso 2: Análisis de impacto .......................................................................... 95

Proceso 3: Determinación del riesgo ................................................................ 96

FASE N° 05: Evaluación del riesgo ..................................................................... 99

Proceso 1: Elaboración de la matriz de clasificación del riesgo .................... 99

Proceso 2: Valorización del riesgo ................................................................... 103

Actividad 1: Determinar la capacidad en base a los límites de tolerancia y apetito de riesgo ................................................... 103

FASE N° 06: Plan de acción - políticas de administración de riesgos .......... 105

Proceso 1: Definición del plan de seguridad .................................................. 105

Actividad 1: Identificación de proyectos de seguridad .......... 105

Actividad 2: Determinación del Plan de Ejecución ................ 109

Fase N° o7: Monitorización y revisión ............................................................. 111

Proceso 1: Definición de lista de control ........................................................ 111

Proceso 2: Seguimiento de los proyectos ....................................................... 114

Discusión 116

CAPÍTULO IV: Aplicación del modelo de gestión de riesgos de TI al caso de estudio ................................................................................................................. 121

CAPÍTULO V: CONCLUSIONES .......................................................................... 310

REFERENCIAS BIBLIOGRÁFICAS ....................................................................... 312

ANEXOS ............................................................................................................... 316

8

ÍNDICE DE TABLAS Tabla 1- Técnicas e instrumentos de recolección de datos ............................ 49

Tabla 2 - Formato de definición del contexto interno .................................... 54

Tabla 3- Formato de definición del contexto externo .................................... 57

Tabla 4- Activos críticos ...................................................................................... 60

Tabla 5 - Identificación amenazas por activo ................................................... 62

Tabla 6 - Requisito de seguridad por activo crítico ......................................... 64

Tabla 7- Estrategias de protección y vulnerabilidades organizacionales por

activo .................................................................................................................... 66

Tabla 8- Ponderación de activos........................................................................ 75

Tabla 9- Lista de clasificación de activos .......................................................... 78

Tabla 10- Valoración de criterio de confidencialidad ..................................... 82

Tabla 11- Valoración de criterio de disponibilidad .......................................... 82

Tabla 12- Valoración de criterio de integridad ................................................ 83

Tabla 13- Valoración de los niveles de criticidad de activos .......................... 84

Tabla 14 - Valoración de activos ........................................................................ 85

Tabla 15 - Criterios de valoración de amenaza ................................................ 87

Tabla 16- Matriz de valorización de la amenaza .............................................. 88

Tabla 17- Valoración de la amenaza ................................................................. 89

Tabla 18- Criterios de valoración de vulnerabilidad ....................................... 89

Tabla 19- Cruce de severidad – exposición ...................................................... 91

Tabla 20- Identificación de las vulnerabilidades .............................................. 92

Tabla 21- Valorización de la vulnerabilidad ..................................................... 93

Tabla 22- Definición de la posibilidad de ocurrencia ...................................... 95

Tabla 23 - Criterio de impacto ........................................................................... 97

Tabla 24- Matriz del nivel de riesgo ................................................................... 98

Tabla 25- Matriz de clasificación de riesgos .................................................... 100

Tabla 26– Matriz de clasificación de riesgos ................................................... 101

Tabla 27- Priorización del riesgo...................................................................... 102

Tabla 28- Matriz de valorización de riesgos .................................................... 104

Tabla 29- Inventario de proyectos ................................................................... 107

Tabla 30- Ficha de proyecto - “Implementar un plan de seguridad” ........... 108

Tabla 31- Formato de cronograma .................................................................. 110

Tabla 32: Lista de control de indicadores a evaluar por proyecto ............... 113

Tabla 33- Ficha de monitoreo .......................................................................... 115

9

Tabla 34 - Estadística de confiabilidad ............................................................ 116

Tabla 35 – Estadística de confiabilidad de Kendall. ....................................... 117

Tabla 36 -Cuadro de definición del contexto interno ................................... 122

Tabla 37– Cuadro de definición del contexto externo .................................. 126

Tabla 38– Cuadro de identificación de activos críticos de la alta dirección 127

Tabla 39- Cuadro de identificación amenaza por activo de la alta dirección

............................................................................................................................. 128

Tabla 40-Cuadro de requisito de seguridad por activo crítico de la alta

dirección ............................................................................................................ 129

Tabla 41- Cuadro de estrategias de protección y vulnerabilidades

organizacionales por activo de la alta dirección ........................................... 131

Tabla 42- Cuadro de identificación de activos importantes en el área de

gestión operativa ............................................................................................... 132

Tabla 43- Cuadro de identificación amenaza por activo en el área de gestión

operativa ............................................................................................................ 134

Tabla 44- Cuadro de requisito de seguridad por activo crítico en el área de

gestión operativa ............................................................................................... 136


organizacionales por activo en el área de gestión operativa ....................... 138

Tabla 46- Cuadro de identificación de activos críticos del personal ........... 139

Tabla 47- Cuadro de identificación amenaza por activo del personal ........ 142

Tabla 48- Cuadro de requisito de seguridad por activo crítico del personal

............................................................................................................................. 145


organizacionales por activo del personal ....................................................... 151

Tabla 50- Cuadro de ponderación de activos ................................................ 152

Tabla 51- Cuadro de clasificación de activos ................................................. 154

Tabla 52- Cuadro de valoración de activos .................................................... 157

Tabla 53- Cuadro de valoración de la amenaza ............................................. 159

Tabla 54- Cuadro de identificación de las vulnerabilidades ......................... 171

Tabla 55- Cuadro de determinación de la vulnerabilidad ............................ 188

Tabla 56- Cuadro de matriz del nivel de riesgo .............................................. 205

Tabla 57- Cuadro de matriz de clasificación de riesgos ................................ 237

Tabla 58- Cuadro de priorización del riesgo .................................................. 238

Tabla 59- Cuadro de matriz de valoración de riesgos ................................... 245

Tabla 60- Cuadro de inventario de proyectos ................................................ 273

Tabla 61- Ficha de proyecto de capacitación de uso de equipos ................ 286

Tabla 62- Ficha de proyecto implementar plan de seguridad ...................... 287

10

Tabla 63- Ficha de proyecto implementar plan de gestión de configuración

de todos los equipos .......................................................................................... 288

Tabla 64- Ficha de proyecto definir e implementar política de supervisión

por muestreo para los diferentes procesos comerciales ............................... 289

Tabla 65- Ficha de proyecto implementar un plan de supervisión ............. 289

Tabla 66- Ficha de proyecto definir e implementar política de copias de

seguridad ............................................................................................................ 292

Tabla 67- Ficha de proyecto implementar un sistema de administración de

eventos ............................................................................................................... 293

Tabla 68- Ficha de proyecto definir políticas de software mal intencionado

............................................................................................................................. 294

Tabla 69- Ficha de proyecto implementar plan de mantenimiento

preventivo .......................................................................................................... 295

Tabla 70- Ficha de proyecto documentar los perfiles de acceso a los

diferentes sistemas o equipos e implementar una directiva que describa el

procedimiento de asignación del perfil .......................................................... 296

Tabla 71- Ficha de proyecto implementar proceso de auditoría de base de

datos ................................................................................................................... 297

Tabla 72- Ficha de proyecto implementar directiva de capacitación del

sistema de gestión comercial ........................................................................... 298

Tabla 73- Ficha de proyecto capacitación en ingeniería social ................... 299

Tabla 74- Ficha de proyecto capacitación de uso y configuración de

servidores ........................................................................................................... 300

Tabla 75- Ficha de proyecto implementar plan de mantenimiento de

equipos ............................................................................................................... 301

Tabla 76- Cuadro de cronograma de ejecución del plan .............................. 302

Tabla 77 - Listado de Indicadores a evaluar por proyecto ............................ 303

Tabla 78 Análisis comparativo del juicio de expertos ................................... 330

Tabla 79 - Proceso del cálculo de Alfa de Cronbach ..................................... 333

Tabla 80 Procedimiento de cálculo del coeficiente de Kendall ................... 335

ÍNDICE DE FIGURAS Figura 1: Proceso de gestión del Riesgo - ISO 31000 ....................................... 29

Figura 2: Dos perspectivas sobre riesgos ........................................................... 35

Figura 3: Procesos principales del riesgo .......................................................... 36

Figura 4: Procesos clave de soporte de la función de riesgos ........................ 36

Figura 5: El riesgo según CRAMM ...................................................................... 38

11

Figura 6: Impactos potenciales. Combinación de amenaza, vulnerabilidad e

impacto- CRAMM ................................................................................................ 39

Figura 7: Administración de Riesgos según MAGERIT .................................... 41

Figura 8: Proceso de administración de riesgos de OCTAVE ......................... 42

Figura 9: Evaluación de riesgos – NIST ............................................................. 44

Figura 10: Relación entre activos, amenazas y riesgos .................................... 46

Figura 11: Modelo de gestión de riesgos propuesto......................................... 51

ÍNDICE DE DIAGRAMAS Diagrama 1: Dependencias de activos .............................................................. 80

Diagrama 2-Dependencias de activos de EPSEL S.A. .................................... 156

12

RESUMEN

La presente investigación centra su estudio en la necesidad de incluir

la gestión de riesgos de tecnologías de la información (TI) en las empresas

del sector de saneamiento del norte del Perú, el diagnóstico fue aplicado la

empresa EPSEL S.A., dentro de esta organización se ha tomado como

muestra de manera censal los siguientes procesos comerciales: medición,

facturación, recaudación, atención al cliente, catastro y conexiones y micro

medición y se consideró 03 grupos de estudio: alta dirección, gestión

operativa y personal se detectó que estas no implementan gestión de riesgos

o no la implementan de una manera efectiva, además se determinó que los

conceptos de gestión de riesgos de TI no son conocidos a nivel de la

gerencia de TI, condicionando una respuesta reactiva ante situaciones

adversas en los servicios importantes soportados por TI, con la posibilidad

de generar pérdidas económicas y deterioro de imagen ante la comunidad

universitaria.

Se planteó como objetivo general: contribuir a la operación de los

procesos de gestión comercial a través del desarrollo de un modelo de

gestión de riesgos de TI adecuado a las empresas de saneamiento del norte

del Perú. El modelo se validó por juicio de expertos midiendo su

confiabilidad aplicando el alfa de Cronbach y la concordancia de su

contenido en base a Kendall.

El modelo propuesto, en la presente tesis, se aplicó en la empresa

prestadora de servicios de saneamiento de Lambayeque como caso de

estudio, identificando 165 riesgos, siendo 52 riesgos categorizados como

alta prioridad en base a la valoración del apetito y tolerancia, se plantearon

estrategias de tratamiento con 16 proyectos aplicados a monitorear y revisar

que la gestión de riesgos logra contribuir a la operación de los procesos de

gestión comercial.

13

PALABRAS CLAVES: Gestión de riesgos, nivel de riesgo, apetito de riesgo,

matriz de riesgo, riesgo total

14

ABSTRACT

This research focuses its study on the need to include information

technology IT risk management in the companies of the sanitation sector of

northern Peru, the diagnosis applied to a sample of the company EPSEL S.A,

within this organization has been taken as a sample of census the following

business processes: measurement, billing, collection, customer service,

cadaster and connections and micro measurement and was considered 03

study groups: senior management, operational management and personnel

was detected that these are not they implement risk management or do not

implement it in an effective manner; furthermore, they determined that IT

risk management concepts are not known at the IT management level,

conditioning a reactive response to adverse situations in the important

services supported by IT, with the possibility of generating economic losses

and deterioration of image before the community.

The general objective was to: contribute to the operation of

commercial management processes through the development of an IT risk

management model suitable for sanitation companies in northern Peru. The

model was validated by expert judgment, measuring its reliability by

applying Cronbach's alpha and concordance of its content based on Kendall.

The proposed model, in this thesis, was applied in the company

providing sanitation services Lambayeque as a case study, identifying 165

risks, with 52 risks categorized as high priority based on the assessment of

appetite and tolerance, strategies were raised of treatment with 16 projects

applied to monitor and review that risk management manages to contribute

to the operation of commercial management processes.

KEYWORDS: Risk management, risk level, risk appetite, risk matrix,

total risk value.

15

.

INTRODUCCIÓN

En el presente trabajo de investigación se desarrolló un modelo de

gestión de riesgos aplicado a las empresas de sector saneamiento, ubicadas

geográficamente en la región norte del Perú.

Si bien es cierto, se han definido diferentes estándares de gestión de

riesgos que han servido de base para la implementación de distintos

modelos de trabajo, estos no se han contextualizado para empresas del

sector de saneamiento.

Con respecto, a las empresas del sector saneamiento, éstas están

estrechamente vinculadas a las tecnologías de información (TI) como

herramienta de apoyo y mejora en la gestión de los diferentes procesos que

ejecutan; sin embargo, como resultado de la situación problemática

analizada en las empresas de este sector, se puede indicar que éstas no han

tomado conciencia de la necesidad, de una efectiva gestión de riesgos, no

existiendo un proceso definido claramente para este tipo de gestión, que les

permita identificar los riesgos a los que pueden estar expuestos sus activos y

el impacto que puede causar la materialización de algún riesgo. Además de

los costos que implicaría su reposición o reparación de los activos

involucrados.

El daño, interrupción, alteración o falla derivada del uso de

tecnologías de información, puede implicar pérdidas significativas en las

organizaciones, pérdidas financieras, multas o acciones legales, afectación

de la imagen de una organización y causar inconvenientes a nivel operativo

16

y estratégico. Según el estudio “Cost of Data Breach”1realizado en Junio del

2017 por el Instituto Ponemon (USA), las tres causas principales de violación

y pérdida de información son: ataque malicioso o criminal (47%), falla de

sistemas (25%) y error humano (28%) y generan un costo promedio de 3,62

millones de dólares a nivel mundial, que en comparación al año 2016 se ha

reducido en un 10%, sin embargo estos incidentes de seguridad han

supuesto para las empresas un costo promedio de 141 dólares por registro

perdido o robado.

Una situación que ejemplifica lo mencionado, en el contexto

internacional (El Comercio 2017)2, ocurrió con el servicio de mensajería

instantánea Whatsapp, cuando se presentó un problema de conexión a nivel

mundial, dejando incomunicados por aproximadamente dos horas a más de

1.200 millones de usuarios, afectando directamente a la imagen de la

empresa y de acuerdo al reporte “Supply Chain Resilience” del Business

Continuity Institute, las interrupciones no planificadas tienen como

principales consecuencias: el impacto en la productividad (68%) y el

incremento del costo laboral(53%)3.

De forma similar, (La Prensa Gráfica 2018)4, informa lo ocurrido en el

de marcas preferenciales en el proceso electoral de diputados y concejos

conteo de votos municipales de El Salvador; la empresa Smartmatic, fue la

1Ponemon Institute. 2017. Cost Data Breach Study. https://info.resilientsystems.com/hubfs/IBM_Resilient_Branded_Content/White_Papers/2017_Global_CODB_Report_Final.pdf 2El comercio. 2018. Whatsapp sufre una caída mundial basada en un profundo cambio. http://www.elcomercio.es/tecnologia/201705/04/whatsapp-caida-mundial-basada-20170504043123.html 3Deloitte. 2018. Lecciones tras la caída de Whatsapp https://www2.deloitte.com/do/es/pages/risk/articles/lecciones-tras-la-caida-de-whatsapp.html 4La prensa gráfica. 2018. “Esto es un error de estudiante de primer año de informática”: 5 datos claves para entender el “error humano” de Smartmatic en la elecciones 2018. https://www.laprensagrafica.com/techlife/Esto-es-un-error-de-estudiante-de-primer-ano-de-informatica-5-datos-claves-para-entender-el-error-humano-de-Smartmatic-en-las-Elecciones-2018-20180306-0049.html

17

encargada de procesar y difundir los resultados de este proceso electoral,

sin embargo, por un “error humano” como ellos mismos catalogaron, se vio

obligada a frenar el proceso de marcas preferenciales y a dar un orden de

preferencias muy diferente al que habían revelado en un inicio, impactando

directamente en la credibilidad del proceso electoral y además pudiendo

acarrear una sanción penal para la empresa implicada.

Nuestro país, no es exento de estas situaciones de interrupción del

servicio, (RPP 2014)5, el Aeropuerto Internacional Jorge Chávez, el 22 de

mayo del 2014 sufrió la caída del sistema informático del área de

migraciones, generando molestias a pasajeros, quienes formaron largas

colas esperando ser atendidos, muchos de ellos corriendo el riesgo de

perder sus vuelos. Si consideramos que este aeropuerto administra la

llegada y salida de 54 vuelos internacionales, como informa en su página

web, el incidente ocurrido generó la insatisfacción de un promedio de 1200

pasajeros de los 8100 que reciben este servicio y según la oficina de asuntos

del consumidor de la Casa Blanca6, cada uno de estos clientes le contará, a

un promedio de 9-15 personas sobre su experiencia y alrededor del 13% de

los clientes insatisfechos lo comentan a más de 20 personas afectando

negativamente a la organización.

De todos los casos antes mencionados y considerando los resultados

obtenidos por la encuesta global de seguridad de información 2017 aplicada

5RPP Noticias. 2014. Caída del sistema genera aglomeración de pasajeros en el Jorge Chávez. http://rpp.pe/lima/actualidad/caida-de-sistema-genera-aglomeracion-de-pasajeros-en-el-jorge-chavez-noticia-694161 6Oficina de asuntos del consumidor de la casa blanca. Capítulo 15. Influencia del consumidor y difusión de las innovaciones. 515. https://books.google.com.pe/books?id=Wqj9hlxqW-IC&pg=PA515&dq=oficina+de+Asuntos+del+Consumidor+de+la+casa+blanca&hl=es-419&sa=X&ved=0ahUKEwi0nsGU--fZAhUN7lMKHXpMBtEQ6AEILTAB#v=onepage&q=oficina%20de%20Asuntos%20del%20Consumidor%20de%20la%20casa%20blanca&f=false

18

por la firma Ernest & Young (EY)7, que indica que, 55% a nivel mundial y el

97% en el Perú de los encuestados, no tiene o solo tiene una capacidad

informal de identificación de una vulnerabilidad que podrían afectar a sus

sistemas de información, grafican la importancia de establecer una cultura a

gestión de riesgos de TI y con mayor razón si consideramos que en la región

norte del Perú, dentro del sector de saneamiento encontramos empresas

que tienen bajo su responsabilidad la gestión de servicios de saneamiento de

un promedio de542, 654mil de conexiones domiciliarias.

Bajo el análisis de la situación problemática descrita, se formuló la

siguiente interrogante ¿Cómo se puede contribuir a la operación de los

procesos de gestión comercial de las empresas del sector de saneamiento

del norte del Perú?

Para dar respuesta a la interrogante mencionada en el párrafo

anterior se planteó la siguiente hipótesis, es posible contribuir a la operación

de los procesos de gestión comercial de las empresas del sector de

saneamiento del norte del Perú, con la implementación del modelo de

gestión de riesgos de tecnologías de información.

De la hipótesis se desprende la variable independiente definida

como, modelo de gestión de riesgos de tecnologías de información basado

en estándares adaptados a las TI que soportan los procesos comerciales.

Como variable dependiente se propuso contribuir a la operación de los

procesos de gestión comercial en las empresas del sector saneamiento del

norte del Perú.

Para demostrar la validez del modelo se determinaron como

objetivos establecer los niveles de coincidencia, basado en la evaluación de

estándares, modelos y normas de gestión de riesgos de TI, para desarrollar

7EY. 2017. El camino hacia la resiliencia cibernética. http://www.ey.com/Publication/vwLUAssets/EY-el-camino-hacia-resiliencia-cibernetica/$FILE/EY-el-camino-hacia-resiliencia-cibernetica.pdf

19

un modelo que permita valorar los activos críticos de tecnología de

información que definen los niveles de impacto en la gestión de los

procesos comerciales de las empresas de saneamiento y luego identificar la

estructura que deberían tener los proyectos requeridos por las necesidades

de control de los procesos críticos y finalmente validar el modelo propuesto,

en cuanto a la utilidad para contribuir a los procesos de gestión comercial

en las empresas de saneamiento.

Los resultados de esta investigación se desarrollaron con la finalidad

de promover en las empresas del sector de saneamiento que carecen o

manejan de manera incipiente buenas prácticas para la gestión de riesgos

de TI, un adecuado soporte en la operación de los procesos de gestión

comercial, la implementación de un modelo de gestión de riesgos adaptado

a sus necesidades logró gestionar los riesgos inherentes del uso de las

tecnologías de información en este tipo de empresa. Si bien hoy en día

existen estándares e incluso diferentes metodologías para gestionar riesgos,

es importante mencionar, que muchos de estos plantean una vasta variedad

de escenarios de los cuales solo una parte se adecuará a este sector, motivo

por el cual se consideró importante desarrollar un modelo de gestión de

riesgos que adecuado a la realidad de este sector empresarial. Así mismo,

gestionar a tiempo los riesgos de TI permitió disminuir las pérdidas

económicas generadas por la materialización de riesgos, que puedan

conllevar a la paralización de las actividades del negocio e incluso a la

pérdida de la información, más aun considerando que este tipo de empresas

es supervisada por el estado y cualquier alteración o falla en la información

que se remite al ente supervisor conlleva a la aplicación de multas que

pueden alcanzar hasta 200 unidades impositivas tributarias (UIT).Finalmente,

considerando que las empresas de saneamiento tienen índole social y su

misión es contribuir a mejorar la calidad de vida de la población, la

implementación de este modelo, apoyó a la operación de los procesos de

20

gestión comercial, así como a mantener la reputación empresarial y la

calidad del servicio prestado a la sociedad.

21

CAPÍTULO I: MARCO TEÓRICO CONCEPTUAL

Antecedentes del problema

Para dar un sustento a la propuesta aquí planteada, se ha considerado

fundamentar a través de los antecedentes seleccionados como

investigaciones previas relacionados con el tema.

NATO Alliance Ground Surveillance Management Agency (2013)8, el

artículo detalla y aporta los pasos para implementar una estándar de gestión

de riesgos, en los que considera la configuración y puesta de un comité de

implementación, proporcionar conocimientos, soporte técnico, gestionar

así como organizar sistemas y procesos. Desarrollar un marco de gestión de

trabajo, publicar y anunciar, aprobar la gestión e implementar un proceso

de gestión de riesgos. Así mismo identifica los pros y contras de

implementar un proceso de gestión de riesgos.

Según Vanegas y Pardo (2014)9,presenta la armonización de modelos de

riesgos de TI MOGRIT (CRAMM, COBIT, EBIOS, ITIL V3 MAGERIT, OCTAVE)

y algunas estándares enfocados en brindar soporte a los riesgos (ISO/IEC

27000, ISO/IEC 27005, ISO/IEC 31010, AS/NZS ISO 31000, BS 7799-3:2006, y

8NATO Alliance Ground Surveillance Management Agency (NAGSMA). 2013. Bélgica. Implementando un estándar de gestión de riesgos. 9Vanegas G, 2014, “Hacia un modelo para la gestión de riesgos de TI en MiPyMES: MOGRIT”

22

UNE 71504:2008) y realiza un análisis comparativo, de alto y bajo nivel, que

permite conocer las características más comunes y representativas de cada

uno de ellos. Con los resultados obtenidos, se establecieron los beneficios, es

decirla manera en la que los modelos comparados y su implementación

pueden ser armonizados, y de esta manera dar soporte a los procesos de

gestión dentro de las actividades de desarrollo de una organización. En este

sentido, el artículo provee una perspectiva más clara de las diferencias,

similitudes y posibles integraciones entre modelos y estándares de riesgos de

TI, para MiPyMEs que desarrollan software. Los investigadores concluyeron

que gracias al análisis realizado se pudo evidenciar que la mayoría de

estándares y modelos descritos en el artículo están relacionados entre sí,

aunque algunos estándares presentan procesos más detallados, con un nivel

más profundo que otros modelos. Asimismo, observaron que hay estándares

y modelos con similitudes en la definición de sus procesos, tales como

actividades similares entre sí. Por otra parte, también encontraron algunas

actividades que complementaban y mejoraban las descripciones de otras

actividades, dando como resultado la característica en la que un modelo es

capaz de soportar a otro modelo. Obtuvieron una metodología, la cual era

soportada por las actividades que están descritas en los procesos de gestión

de riesgos definidos en normas y estándares certificados, que son avalados

por organismos internacionales como la ISO, IEC, ISACA e ICONTEC, entre

otros, siendo este el principal aporte al desarrollo del trabajo de

investigación propuesto.

Celi, Ernesto (2014)10, en su artículo de investigación denominado

“Un modelo para la gestión de TI en las empresas microfinancieras: caso

Lambayeque, Perú”, propone un modelo de gestión de riesgos de TI, que

10Celi E., 2014, Lambayeque. “Un modelo para la gestión de TI en las empresas microfinancieras: caso Lambayeque, Perú”

23

identifica, evalúa y trata los activos de TI, sus amenazas, debilidades y

niveles de riesgo relacionadas con las categorías: disponibilidad, integridad

y confidencialidad de la información, que exige la Superintendencia de

Banca y Seguros (SBS) para este tipo de organizaciones. Permitiendo

establecer pautas para evaluar la magnitud de los riesgos y contar con

indicadores clave para monitorizar periódicamente las actividades de

gestión de riesgos de TI en las entidades financieras tomadas como muestra,

mediante la evaluación de brechas de efectividad de los controles de

seguridad de la información. El producto tangible del modelo de gestión de

riesgos es la matriz de riesgos y a través de ella lograron disponer de un

registro permanentemente actualizado de los principales activos de TI a

proteger, de modo que se garantice la continuidad operativa vía los planes

de mitigación de los riesgos inmersos en cada activo permitiendo una

adecuada sinergia con los procedimientos de continuidad del negocio.

Concluyeron, que se ha podido demostrar que la metodología de gestión de

riesgos de TI que propusieron, permite identificar los niveles de riesgos de

tal forma que sirve de información para la toma de decisiones en relación a

la inversión, para la implementación de los controles que sirvan de

salvaguardas en la protección de su procesos, contra posibles amenazas y

vulnerabilidades. Se considerará como aporte al trabajo de investigación la

matriz de riesgos obtenida de la implementación de la metodología de

gestión de riesgos que se propuso.

Según Molina (2015)11, en su investigación ha descrito los conceptos

relacionados con la gestión de los riesgos de la seguridad de la información,

estándares, metodologías y herramientas que proporcionan las guías

11 Molina, M. 2015. Madrid. Propuesta de un plan de gestión de riesgos de tecnología superior politécnica. http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf

24

necesarias para reducir el nivel de vulnerabilidad que tienen los activos ante

una amenaza. Es de vital importancia que una organización, dedicada a

brindar servicios tecnológicos y mantener respaldada mucha información

confidencial de forma segura, cuente con un plan de gestión de riesgos para

garantizar la continuidad del negocio. Por este motivo, vieron la necesidad

de desarrollar un análisis de riesgo tecnológico de orden cualitativo

aplicado en el centro que administra y brinda los servicios de red y sistemas

de la Escuela Superior Politécnica del Litoral siguiendo la metodología

MAGERIT. Primero procedieron a describir la situación actual de la

organización, luego a identificar los activos con sus respectivas

vulnerabilidades, para proseguir a realizar la medición de riesgos existentes

y sugerir las salvaguardas necesarias que podrían formar parte del plan de

implantación, que genera aporte a este estudio, por lo que identifica el nivel

de riesgo en que se encuentran los activos, mediante el nivel de madurez de

la seguridad implementada y sobre todo incentivar al personal a seguir las

respectivas normas y procedimientos referentes a la seguridad de la

información y recursos.

Murillo y Rivas (2015)12, realizan una propuesta metodológica para la

gestión del riesgo en microempresas comercializadoras de

electrodomésticos ubicadas en la ciudad de Bogotá, basándose en el

estándar ISO 31000: 2011 y OHSAS18001:2007. Partiendo con el análisis de

riesgos y la contextualización del sector. Tras la entrada al país de las

grandes superficies, las microempresas se ven obligadas a cambiar sus

estrategias que les permita mantenerse vigentes en el mercado, rentables y

12 Murillo Ch. y S. Rivas, 2015, Colombia. Propuesta metodológica para la gestión del riesgo en microempresas comercializadoras de electrodomésticos basada en los modelos ISO 31000:2011 y OHSAS 18001:2007. https://repositorio.escuelaing.edu.co/bitstream/001/226/1/EC-Especializaci%C3%B3n%20en%20Gestion%20Integrada%20QHSE-1072493699.pdf

25

competitivas. Se han tomado como referencia diversos casos en los que la

implementación de un Sistema Integrado de Gestión, permite a las

organizaciones desarrollar sus actividades con una mayor eficiencia y

eficacia a partir de la gestión por procesos, donde no sólo se reducen costos

y tiempo, sino que además se mejora la efectividad y productividad de la

organización, pues permite monitorear los procesos, para determinar si

realmente son eficientes o ajustarlos en caso de ser necesario, reduciendo

considerablemente el riesgo y el gasto de recursos. Se logró establecer los

principales factores de riesgo internos y externos qué afectan el crecimiento,

rentabilidad y sostenibilidad de las microempresas mediante el análisis de la

severidad de los mismos permite priorizar la implementación de controles

para dichos riesgos.

La investigación de Arangurí, Imán y León(2016)13, propone una

alternativa de solución, por lo que define que el modelo aplicado por el

estándar de riesgos ISO 31000, las normas ISO/IEC 27000, 27001, 27002,

27003 y 27005 y las metodologías de OCTAVE, MAGERIT permitió gestionar

los riesgos de TI asegurando la continuidad de los procesos, sin afectar las

operaciones económicas y operativas en las universidades privadas de la

región Lambayeque, haciendo los riesgos más visibles, el aporte de esta

investigación es la secuencia lógica que proponen como modelo de gestión

de riesgos, la cual se usó de referencia para el desarrollo de la presente tesis.

La tesis Chillogallo y Zambrano (2016)14, propone elaborar y validar un

modelo de gestión de riesgos de tecnologías de información para la Fiscalía

13Arangurí, M., R. Iman y G. León, 2016, Chiclayo. Modelo de gestión de riesgos de TI basados en estándares adaptados a las TI que soportan los procesos para contribuir a la generación de valor en las universidades privadas de la región Lambayeque. 14Chillogallo, E., V. Zambrano, 2016, Quito. Elaboración de un modelo de gestión de riesgos de tecnologías de información para la fiscalía general del estado.

26

General del Estado (FGE), teniendo en cuenta el análisis de la situacional de

la entidad en torno a la gestión de riesgos, comparando modelos y

metodologías para el análisis y gestión de riesgos de tecnologías de

información para elaborar y aplicar el modelo. Aporta al presente trabajo de

investigación con la propuesta metodológica de gestión de riesgos que

desarrollaron para la FGE, y en particular para la dirección de TI.

El trabajo de investigación de López (2017)15, propone desarrollar un

modelo de gobierno y gestión de TI para industrias farmacéuticas

ecuatorianas, tomando como referencia las mejores prácticas de

manufactura y gobierno de TI, que constituye una guía clara para que los

procesos relacionados con TI estén controlados y gestionados, a fin de

generar valor para la industria sirviendo como aporte para el desarrollo de

la presente tesis.

En este apartado se hará referencia de cada uno de los conceptos que

han sido aplicados, en el desarrollo de la presente tesis y define el sustento

teórico del método.

1.1. Gestión de riesgos de tecnologías de información

a. Gestión de riesgos

COBIT 5 (2012), menciona que “Uno de los objetivos de

gobierno. Requiere reconocer un riesgo; evaluar su impacto y

posibilidad; y desarrollar estrategias, como, por ejemplo, evitar el

riesgo, reduciendo el efecto negativo de riesgo o transfiriendo el

15Coronel, K., 2017, Ecuador. Modelo de gobierno y gestión de TI para industrias farmacéuticas ecuatorianas, tomando como referencia las mejores prácticas de manufactura y gobierno de TI. Caso de estudio: Laboratorios industriales farmacéuticos ecuatorianos (LIFE)

27

riesgo, para gestionarlo en el contexto del apetito de riesgo de una

empresa”.

El riesgo de origen tecnológico puede incidir sobre las metas y

objetivos organizacionales.

El desarrollo y uso de metodologías integradas y ágiles ayudan

a minimizar el impacto que puede causar en las dimensiones de la

seguridad.

b. Tratamiento de Riesgos

Después que se ha identificado el riesgo, es necesario saber

cómo se debe manejar y para ello existen 4 maneras de hacerlo:

Evitar: Es generalmente conceptual porque implica

oportunidades. Esta forma de evitar el riesgo suele ser

inviable.

Transferir: La organización puede transferir la

responsabilidad para un evento hacia un tercero.

Mitigar: Es cuando la organización puede reducir la

expectativa de costo de un riesgo, al reducir la posibilidad

de que el evento ocurra.

Aceptar: Si la empresa retiene el riesgo sin establecer un

fondo, entonces se dice que la empresa acepta el riesgo.

c. Perfil de riesgo de TI

En la gestión de TI, es necesario tener en cuenta tres aspectos

básicos: implantación eficaz de las TI, procesos de gobierno del

riesgo y la cultura consciente sobre el riesgo, para lograr la

efectiva gestión de los riesgos.

28

Un perfil de riesgo debe determinar e identificar los siguientes

componentes:

Nivel potencial e inherente de riesgo: Consiste en estimar el

nivel de exposición a los riesgos que tiene la empresa.

Controles provenientes de las TI: La implementación de TI

trae consigo una serie de controles relacionados con los

activos o con los procesos de TI, que permite mitigar los

riesgos, obteniendo un nivel de riesgo.

Apetito de riesgo16: COSO (Committee of Sponsoring

Organizations of the Treadway) define el apetito del riesgo

como el riesgo que se está dispuesto a aceptar en la

búsqueda de la misión/visión de la entidad.

Tolerancia al riesgo17: Es la cantidad máxima de un riesgo

que una empresa puede aceptar para lograr su objetivo. Es

decir es aquel riesgo que tiene que ser capaz de soportar.

Capacidad de riesgo18: Es la cantidad y tipo de riesgo

máximo que una organización es capaz de soportar en la

persecución de sus objetivos sin afectar su existencia.

1.2. Estándares

a. ISO 31000

16Instituto de Auditores Internos. 2013. España. Definición e implantación de apetito de riesgo. 15-16. https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf 17Instituto de Auditores Internos. 2013. España. Definición e implantación de apetito de riesgo. 16. https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf 18Instituto de Auditores Internos. 2013. España. Definición e implantación de apetito de riesgo. 16. https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf

29

Esta norma internacional, describe este proceso sistemático y

lógico en detalle, comunica y consulta a las partes interesadas,

supervisa y examina el riesgo y de los controles que están

modificando el riesgo con el fin de garantizar que no se requiere el

tratamiento del riesgo.

Las prácticas de gestión y los procesos de muchas

organizaciones incluyen los componentes de riesgo de gestión, y

muchas organizaciones ya han adoptado un proceso formal de

gestión de riesgo para particulares tipos de riesgo o circunstancias.

En tales casos, una organización puede decidir llevar a cabo una

revisión crítica de sus prácticas y procesos existentes a la luz de

esta norma internacional.

El proceso de gestión de riesgos se muestra en la figura 1:

Figura 1: Proceso de gestión del riesgo - ISO 31000

Fuente: ISO 31000:2009

30

Establecer el contexto.

El proceso de gestión de riesgo que se está aplicando, debe ser

establecido.

La gestión de riesgo, debe llevarse a cabo con plena

consideración de la necesidad de justificar los recursos utilizados

en la realización de gestión de riesgos. Los recursos necesarios, las

responsabilidades y autoridades, y los registros que deben

mantenerse especificados.

Identificación de Riesgos.

El objetivo de este paso, es generar una lista completa de los

riesgos basados en los acontecimientos que puedan crear, mejorar,

prevenir, degradar, acelerar o retrasar la consecución de los

objetivos. Es importante identificar los riesgos asociados a que no

ejercen una oportunidad. La identificación completa es

fundamental, porque el riesgo de que no se identifica en esta etapa

no sean incluidas en el análisis posterior.

Análisis de Riesgos.

El análisis de riesgos implica el desarrollo de la comprensión

de los riesgos. El análisis de riesgos proporciona una entrada a los

riesgos, la evaluación y las decisiones sobre si los riesgos necesitan

ser tratados y en el tratamiento del riesgo se busca aplicar las

estrategias adecuadas como métodos de control. El análisis de

riesgos también puede aportar en la toma de decisiones, las

elecciones deben ser realizados y las opciones de participación de

los diferentes tipos y niveles de riesgo.

31

Evaluación de Riesgos.

El propósito de la evaluación de riesgos, es ayudar en la toma

de decisiones, tomando como base en el análisis de riesgos que

necesitan tratamiento y determinado la prioridad para la

aplicación del tratamiento.

Evaluación de los riesgos supone la comparación del nivel de

riesgo identificado durante el proceso de análisis con criterios de

riesgo establecidos cuando se establece el contexto. Basándose en

esta comparación se determina la necesidad del tratamiento que

puede ser considerado.

Tratamiento del Riesgo.

El tratamiento del riesgo consiste en seleccionar una o más

opciones de modificación de los riesgos, y la aplicación de esas

opciones.

El tratamiento del riesgo implica un proceso cíclico de:

Evaluación de un tratamiento del riesgo.

Decidir si los niveles de riesgo residual son aceptables.

Si no son aceptables, generar un nuevo tratamiento del

riesgo.

La evaluación de la eficacia de ese tratamiento.

Las opciones de tratamiento de los riesgos no son

necesariamente excluyentes o apropiadas en todas las

circunstancias.

Las opciones pueden incluir:

Evitar el riesgo al decidir no iniciar o continuar con la

actividad que da lugar al riesgo.

32

Aceptar o aumentar el riesgo con el fin de perseguir una

oportunidad.

Transferir el riesgo con la otra parte o partes (incluidos los

contratos y la financiación de riesgo).

Mitigar el riesgo.

b. ISO 27001

Es una norma internacional emitida por la Organización

Internacional de Normalización (ISO) y describe cómo gestionar la

seguridad de la información en una empresa. La revisión más

reciente de esta norma fue publicada en 2013 y ahora su nombre

completo es ISO/IEC 27001:2013. La primera revisión se publicó en

2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de

organización, con o sin fines de lucro, privada o pública, pequeña

o grande. Está redactada por los mejores especialistas del mundo

en el tema y proporciona una metodología para implementar la

gestión de la seguridad de la información en una organización.

También permite que una empresa sea certificada; esto significa

que una entidad de certificación independiente confirma que la

seguridad de la información ha sido implementada en esa

organización en cumplimiento con la norma ISO 27001.

El eje central de ISO 27001 es proteger la confidencialidad,

integridad y disponibilidad de la información en una empresa.

Esto lo hace investigando cuáles son los potenciales problemas

que podrían afectar la información (es decir, la evaluación de

riesgos) y luego definiendo lo que es necesario hacer para evitar

33

que estos problemas se produzcan (es decir, mitigación o

tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se

basa en la gestión de riesgos: investigar dónde están los riesgos y

luego tratarlos sistemáticamente.

Las medidas de seguridad (o controles) que se van a

implementar se presentan, por lo general, bajo la forma de

políticas, procedimientos e implementación técnica (por ejemplo,

software y equipos). Sin embargo, en la mayoría de los casos, las

empresas ya tienen todo el hardware y software pero utilizan de

una forma no segura; por lo tanto, la mayor parte de la

implementación de ISO 27001 estará relacionada con determinar

las reglas organizacionales (por ejemplo, redacción de

documentos) necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementación demandará la gestión de

múltiples políticas, procedimientos, personas, bienes, etc., ISO

27001 ha detallado cómo amalgamar todos estos elementos dentro

del sistema de gestión de seguridad de la información (SGSI).

Por eso, la gestión de la seguridad de la información no se

acota solamente a la seguridad de TI (por ejemplo, cortafuegos,

anti-virus, etc.), sino que también tiene que ver con la gestión de

procesos, de los recursos humanos, con la protección jurídica, la

protección física, etc.

Importancia

Hay 4 ventajas comerciales esenciales que una empresa puede

obtener con la implementación de esta norma para la seguridad

de la información:

34

Cumplir con los requerimientos legales: Cada vez hay más y

más leyes, normativas y requerimientos contractuales

relacionados con la seguridad de la información. La buena

noticia es que la mayoría de ellos se pueden resolver

implementando ISO 27001 ya que esta norma le proporciona

una metodología perfecta para cumplir con todos ellos.

Obtener una ventaja comercial: Si su empresa obtiene la

certificación y sus competidores no, es posible que usted

obtenga una ventaja sobre ellos ante los ojos de los clientes a

los que les interesa mantener en forma segura su información.

Menores costos: La filosofía principal de ISO 27001 es evitar

que se produzcan incidentes de seguridad, y cada incidente, ya

sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos

su empresa va a ahorrar mucho dinero. Y lo mejor de todo es

que la inversión en ISO 27001 es mucho menor que el ahorro

que obtendrá.

Una mejor organización: En general, las empresas de rápido

crecimiento no tienen tiempo para hacer una pausa y definir

sus procesos y procedimientos; como consecuencia, muchas

veces los empleados no saben qué hay que hacer, cuándo y

quién debe hacerlo. La implementación de ISO 27001 ayuda a

resolver este tipo de situaciones ya que alienta a las empresas

a escribir sus principales procesos (incluso los que no están

relacionados con la seguridad), lo que les permite reducir el

tiempo perdido de sus empleados.

35

1.3. Metodologías de gestión de riesgos de información

COBIT 5

COBIT 5 en un contexto de riesgo presenta dos perspectivas:

Función de riesgo y

Gestión de riesgos.

Gineo Pablo (2015), la perspectiva de función de riesgo se centra

en lo que se necesita para construir y mantener la función de

riesgo en la empresa, mientras la perspectiva de la gestión de

riesgos se centra en los procesos básicos de gobierno y gestión del

riesgo para optimizar el riesgo y en cómo identificar, analizar,

responder y reportar sobre el riesgo a diario.

Figura 2: Dos perspectivas sobre riesgos

Fuente: COBIT 5

36

Procesos principales de la gestión de riesgos:

Figura 3: Procesos principales del riesgo

Fuente: COBIT 5

Procesos base para el soporte de la gestión de riesgos con Cobit 5.

Figura 4: Procesos clave de soporte de la función de riesgos

Fuente: COBIT 5

37

CRAMM

Fue desarrollado por el gobierno británico en 1997. CRAMM19

es el acrónimo de CCTA Risk Analysis and Management

Methodology.A su vez la CCTA es el acrónimo de la Central

Computer and Telecommunications Agency. Traduciendo al

español CRAMM es la Metodología para el Análisis y

Administración del Riesgo de la CCTA (Agencia Central de

Computación y Telecomunicación). CRAMM es consistente con los

estándares y políticas de seguridad del gobierno británico y del

BS7799 (el código de prácticas para la administración de seguridad

de la información).

El método para el análisis de riesgo usado por CRAMM

consiste en evaluar los siguientes tres factores:

Las amenazas que pueden afectar a los activos.

Las vulnerabilidades que pueden ser aprovechadas por

esas amenazas.

El costo en caso del impacto hacia el activo.

Y a partir de esto se determina el nivel de riesgo o se establece una medida del riesgo. Este concepto se ilustra en la figura 5.

19Guerra M., Tecnológico de Monterrey, 2006. Resumen de la tesis: evaluación del riesgo informático ponderado y su implantación en el campus estado México-Edición Única. 23-25. https://repositorio.itesm.mx/ortec/bitstream/11285/567630/1/DocsTec_4892.pdf

38

Figura 5: El riesgo según CRAMM

Fuente: Tecnológico de Monterrey

El análisis de riesgo en sí mismo consiste en cinco pasos:

1. Identificar los activos, amenazas y vulnerabilidades: Cada

activo potencial de ser impactado tiene que ser identificado. Listas

de todas las amenazas imaginables, de todas las vulnerabilidades

relevantes y todos los activos potencialmente afectados son

establecidas.

2. Identificar los posibles impactos a los activos: Una lista de

todas las combinaciones de amenazas y vulnerabilidades que

potencialmente puedan causar un impacto a un activo son

identificadas, los cuales se ilustran en la figura 6.

39

Figura 6: Impactos potenciales. Combinación de amenaza, vulnerabilidad e impacto- CRAMM


3. Evaluación de los activos y medición de las amenazas y

vulnerabilidades: Cada activo potencialmente afectado tiene que

ser evaluado de acuerdo a los costos de pérdida o daño del activo.

Todos los valores son transcritos a una escala de 1 a 10. La fuerza

de las amenazas y el nivel de vulnerabilidades debe ser

cuantificado. Los posibles valores para las amenazas y las

vulnerabilidades son: bajo, medio y alto.

4. Calcular el riesgo: Para este cálculo se usa una tabla

tridimensional donde la fuerza de la amenaza, el nivel de

vulnerabilidad y el valor del activo son los parámetros de entrada,

al final da el requerimiento de seguridad (dígase nivel de riesgo) en

un rango de uno a cinco.

5. Revisión de los resultados: En este punto se revisan los datos.

El común tiene que ser usado para ver si los resultados parecen

razonables. Usualmente, un ajuste de los datos de entrada es

necesario.

Después del análisis de riesgos, las mejores salvaguardas

pueden ser seleccionadas y el análisis de riesgo puede ser hecho

nuevamente, contando con las nuevas salvaguardas, para así

determinar si se ha podido reducir el riesgo a un nivel aceptable.

40

MAGERIT

Metodología española para la gestión y análisis de riesgos de

los sistemas de información elaborada por el Consejo Superior de

Administración Electrónica. La razón de ser de MAGERIT20 está

directamente relacionada con la generalización del uso de las

tecnologías de la información, que supone unos beneficios

evidentes para los ciudadanos; pero también da lugar a ciertos

riesgos, que deben minimizarse con medidas de seguridad que

generen confianza.

MAGERIT interesa a todos aquellos que trabajan con

información digital y sistemas informáticos para tratarla. Si dicha

información, o los servicios que se prestan gracias a ella, son

valiosos, MAGERIT les permitirá saber cuánto valor está en juego y

les ayudará a protegerlo. Conocer el riesgo al que están sometidos

los elementos de trabajo es, simplemente, imprescindible para

poder gestionarlos. Con MAGERIT se persigue una aproximación

metódica que no deje lugar a la improvisación, ni dependa de la

arbitrariedad del analista.

Esta metodología se puede resumir en la figura 7.


41

Figura 7: Administración de riesgos según MAGERIT


OCTAVE

OCTAVE21, es el acrónimo de Operationally Critical Threat,

Asset, and Vulnerability Evaluation (en español: Evaluación de

Amenazas, Activos y Vulnerabilidades de Operaciones Criticas). Es

una evaluación de riesgos estratégica y una técnica de planeación

para la seguridad.

OCTAVE, se enfoca en el riesgo organizacional y en su

estrategia. Busca balancear el riesgo operacional, las mejores

prácticas de seguridad y la tecnología.

Esta metodología consta de tres pasos los cuales permiten

construir una imagen de las necesidades de seguridad, los que se

ilustran en la figura 8. Estos pasos son:

Construir los perfiles de amenazas basados en los activos.

Identificar las vulnerabilidades de la infraestructura.

Desarrollar las estrategias y planes de seguridad.


42

Figura 8: Proceso de administración de riesgos de OCTAVE


Construir los perfiles de amenazas basados en los activos.

Esta etapa es una evaluación organizacional; se determina que

información mantiene relación con los activos críticos con la

finalidad de identificar que es importante para la organización y

que es lo que actualmente se está haciendo para proteger estos

activos. Posteriormente se seleccionan aquellos activos que sean

más importantes para la organización y se describen los

requerimientos de seguridad para cada activo crítico. Finalmente,

se identifican las amenazas para cada activo crítico, creando un

perfil de amenaza para ese activo.

Identificar las vulnerabilidades de la infraestructura.

Este paso es una evaluación de la infraestructura informática.

Se examinan los caminos de acceso de la red, identificando los

tipos de tecnología de información relacionados con cada activo.

43

Finalmente, se determina el grado de resistencia de cada tipo

hacia los ataques de red.

Desarrollar las estrategias y planes de seguridad.

Durante esta etapa de evaluación, se identifican los riesgos a

los que se están expuestos los activos críticos y se decide qué hacer

con ellos. Se desarrolla una estrategia de protección para la

organización y un plan de mitigación hacia los riesgos de los

activos críticos basado en la información generada.

NIST 800-30

El Instituto Nacional de Estándares y Tecnología (NIST:

Nacional Institute of Standards and Technology)22 de Estados

Unidos. El propósito es proporcionar una guía para la realización

de evaluaciones de riesgo de los sistemas de información y las

organizaciones federales, amplificando la orientación en la

Publicación Especial 800-39. Las evaluaciones de riesgo se utilizan

para identificar, estimar, y priorizar riesgo para las operaciones de

la organización (es decir, la misión, funciones, imagen, y

reputación), estas pueden llevar a cabo la jerarquía en los tres

niveles de la gestión de riesgos, incluyendo Nivel 1 (nivel de

organización), Nivel 2 (nivel de proceso de negocio de misión), y

Nivel 3 (nivel de sistema de información); son parte de un proceso

de gestión del riesgo global, proporcionando a los directivos con la

información necesaria para determinar las formas de actuación en

respuesta a los riesgos identificados.


44

En particular, NIST 800-30 proporciona una guía para la

realización de cada uno de los pasos en el proceso de evaluación

de riesgos (es decir, la preparación para la evaluación, la

realización de la evaluación, la comunicación de los resultados de

la evaluación, y el mantenimiento de la evaluación) y cómo las

evaluaciones de riesgo y otra organización los procesos de gestión

de riesgos se complementan y se informan mutuamente.

Estos pasos se esquematizan en la figura 9.

Figura 9: Evaluación de riesgos – NIST


1.4. Definición de términos básicos

Riesgos:

Según Cobit 5, el riesgo se define como el potencial de los

objetivos empresariales no alcanzados o como cualquier

oportunidad que puede mejorar los objetivos de la empresa.

Activos:

Ítem, objeto o entidad que tiene valor real o potencial para

una organización.

45

Amenaza:

Eventos que pueden desencadenar un incidente en la

organización produciendo daños materiales o pérdidas

inmateriales.

Vulnerabilidad:

Defecto o debilidad en el diseño, implementación u operación

de un sistema que habilita o facilita la materialización de una

amenaza. Propiedades intrínsecas de que algo se produzca como

resultado de una sensibilidad a una fuente de riesgo que puede

conducir a un suceso con una consecuencia. [UNE-ISO Guía

73:2010]

Impacto:

Consecuencia – Resultado de un suceso que afecta a los

objetivos. [UNEISO Guía 73:2010]

Consecuencia que sobre un activo tiene la materialización de

un riesgo. [Magerit: 1997]

Salvaguarda:

Procedimiento o mecanismo tecnológico que reduce el riesgo.

Control: Medida que modifica un riesgo. [UNE-ISO Guía 73:2010]

Interrelación de los conceptos básicos

Esquemáticamente podemos relacionar estos conceptos en la

figura 10.

46

Figura 10: Relación entre activos, amenazas y riesgos


En resumen, los activos están expuestos a amenazas que

aprovechan vulnerabilidades que al ser explotadas producen un

impacto que multiplicado por la frecuencia de ocurrencia nos

permite determinar el nivel de riesgo. Las salvaguardas, nos

permiten reducir tanto el impacto como la frecuencia de que se

materialicen los riesgos.

47

CAPÍTULO II: MATERIALES Y MÉTODOS

2.1. Tipo de estudio y Diseño de Contrastación de Hipótesis

El tipo de estudio: Observacional, Transversal y Prospectiva.

Para el cumplimiento de los objetivos de la presente tesis, se

identificó como diseño de contrastación el de tipo pre test – post test; el

mismo que permite probar el planteamiento de la hipótesis. Para esto se

mide la variable dependiente a ser utilizada (pre test), luego se efectúa una

nueva medición de la variable dependiente, en la información, de las

tecnologías de información que dan soporte a los procesos comerciales de

las empresas de saneamiento del norte del Perú (post test), finalmente, la

aplicación de la variable independiente el Modelo de Gestión de Riesgos

basado en estándares adaptados a las TI utilizadas.

Diseño de Contrastación Pre-Test y Post-Test

Se detalla lo que se propone lograr en el resultado del método de

diseño pre test – post test.

G O1 X O2

Donde:

G: Caso de estudio seleccionado.

48

O1: La aplicación de la encuesta pretest consistirá en una

encuesta a los directores y gestores de TI, con la finalidad

de evaluar el estado actual de la gestión de riesgos de TI.

X: Modelo de gestión de riesgos de TI.

O2: La aplicación de la encuesta postest consistirá aplicar la

misma encuesta a los directores y gestores de TI, con la

finalidad de evaluar la contribución del modelo a la

continuidad del negocio.

2.2. Población

Empresas del Sector de Saneamiento del Norte del Perú catalogadas

como empresas grandes según SUNASS.

2.3. Muestra

Respecto a la población de empresas de saneamiento del norte del

Perú, la investigación se desarrolló, tomando como muestra a la empresa

EPSEL S.A., y dentro de esta organización se ha tomado de manera censal

los siguientes procesos comerciales:

Medición.

Facturación.

Recaudación.

Atención al Cliente.

Catastro y Conexiones.

Micro medición.

2.4. Muestreo

Para la presente investigación se utilizará un muestreo no

probabilístico causal-accidental, y se considerarán 03 grupos de estudio:

Alta dirección.

49

Gestión Operativa.

Personal.

2.5. Técnicas e instrumentos de recolección de datos

Tabla 1- Técnicas e instrumentos de recolección de datos

Variable

Técnicas Instrumentos

Contribuir a la

continuidad de la

operación de los

procesos comerciales

Encuestas

Cuestionario (En el

anexo Nº 01 se puede

observar la importancia

de los activos que

contribuyen a la

continuidad de la

operación de los

procesos comerciales).

Entrevistas

Cuestionarios (En el

anexo Nº 02 se puede

observar el cuestionario

evaluar el nivel de

Gestión de Riesgos a

nivel de Gobierno).

Fuente: Propia

2.6. Plan de procesamiento para análisis de datos

Para la obtención de la información se utilizó la aplicación de

encuestas y se uso entrevistas, así también el análisis documental, técnico

importante para la revisión de documentación estratégica.

50

Encuestas:

Serán aplicadas a los usuarios del sistema comercial.

Entrevistas:

Hetero-administradas serán aplicadas a los especialistas del área de TI y a la

plana directiva de las EPS.

Análisis documental:

Revisión de documentos estratégicos: Plan estratégico de TI.

Revisión de documentos administrativos: Políticas de seguridad de

información, políticas de accesos, plan de contingencia y reportes de

incidencias de TI.

Para el plan de procesamiento utilizaremos las herramientas informática

SPSS y/o Excel.

Asimismo, los principales indicadores, serán detallados a través de gráficos

estadísticos.

51

CAPÍTULO III: RESULTADOS Y DISCUSIÓN

En este capítulo se analizó el estándar ISO 31000:2011y metodologías

referentes a la gestión de riesgos de tecnologías de la información: Magerit,

Octave, Nist y COBIT 5, determinando las siguientes fases coincidentes, las

cuales se adaptaron a la realidad de las empresas del sector de saneamiento

del norte del Perú.

Figura 11: Modelo de gestión de riesgos propuesto

Fuente: Propia

Crear Perfil de Activos

Identificar los Riesgos

Análisis de Riesgos

Evaluación del riesgo

Plan de Acción – Políticas de administración de riesgos

Mo

nit

ore

o y

re

vis

ión

Definir el Contexto

52

Fase N° 01: Definición del contexto

Esta fase tiene como base fundamental la fase Nº 01 de la norma ISO

31000:2009 donde define los parámetros básicos internos y externos para la

gestión del riesgo.

Para poder evaluar los riesgos se debe incluir su definición y la

clasificación de los criterios de riesgo interno y externo.

Proceso 1: Definición del contexto interno

Este proceso tiene como objetivo identificar los parámetros de fuente

y detalle en cada criterio del contexto interno.

1. Descripción:

Definir parámetros básicos internos para alcanzar los objetivos

estratégicos de la organización.

2. Herramientas:

a. Formato de definición de contexto interno. (Tabla 2).

3. Responsable:

a. Equipo de análisis.

4. Información de entrada:

a. Manual de organización y funciones (MOF).

b. Cuadro de asignación de personal (CAP).

c. Plan Estratégico.

d. Organigrama.

e. Misión.

f. Valores.

g. Patrimonio.

h. Inventario de activos.

5. Información de salida:

a. Listado de definición de contexto interno.

53

6. Procedimiento:

a. Identificar fuente y detalle del factor interno cultural.

Características de las entidades prestadoras de servicios de

saneamiento de la región.

b. Identificar fuente y detalle del factor interno normativo.

Identificar normas, estándares de referencia adoptados por la

organización.

c. Identificar fuente y detalle del factor interno partes internas

involucradas y la relación del personal con los procesos de la

empresa.

d. Identificar fuente y detalle del factor interno recursos.

Inventarios de activos de infraestructura tecnológica de la

organización.

e. Identificar fuente y detalle del factor interno estructura.

Se define como está organizado las funciones de la organización.

f. Identificar fuente y detalle del factor interno metas y objetivos.

Lo que se quiere lograr en un tiempo establecido para la

organización.

g. Identificar fuente y detalle del factor interno valores.

Características que nos identifica como organización.

54

Tabla 2 - Formato de definición del contexto interno

Criterio Fuente Detalle

Cultural Plan estratégico EPSEL S.A. tiene como objeto la

prestación de los servicios de saneamiento de agua potable y alcantarillado sanitario.

Normativo Oficina de Desarrollo Empresarial

MOF. CAP. ROF. Plan Estratégico. PIA.

Partes Internas Involucradas

Personal administrativo

Medición. Facturación. Recaudación. Atención al Cliente. Catastro y Conexiones. Micro medición.

Recursos

CAP Personal

Metas y

Objetivos Plan estratégico

Misión Visión

Valores Plan estratégico Trabajo en Equipo. Honestidad. Protección del Medio Ambiente.

Criterio N Fuente N Detalle N Criterio N+1 Fuente N+1 Detalle N+1

… … … … … …

Fuente: Propia

LOGO Fase: 01 Proceso: 01 Actividad: - CÓDIGO

DECI N°___ Pág. ___/ ___

Definición del contexto interno

Objetivo: Identificar los parámetros de fuente y detalle en cada criterio del contexto interno. TIPO

Actores

Elaborado

Por: Fecha Elaboración ___/___/_____

Revisado Por:

Aprobado Por:

Fecha Aplicación ___/___/_____

Ejecutor Revisor V°B°

55

Proceso 2: Definición del contexto externo

Este proceso tiene como objetivo identificar los parámetros de fuente y

detalle en cada criterio del contexto externo.

1. Descripción:

Definir parámetros básicos externos para alcanzar los objetivos

estratégicos de la organización.

2. Herramientas:

a. Formato de definición de contexto externo. (Tabla 3).

3. Responsable:



a. Convenios.

b. INEI.

c. NTP Seguridad.

d. NTP Desarrollo.

e. Gobiernos locales.

f. Cuadro de asignación de personal (CAP).

g. Marco normativo.

h. Constitución Política.

i. Entidades Financieras


a. Listado de definición de contexto externo.

6. Procedimiento:

a. Identificar fuente y detalle del factor externo ambiente del negocio.

56

Convenios con otras empresas para afectar el desempeño de la

organización.

b. Identificar fuente y detalle del factor externo normativo y político.

Normas y leyes que por su incumplimiento puede afectar a la

organización.

c. Identificar fuente y detalle del factor interno financiero.

Aspectos relacionados con la economía.

57

Tabla 3- Formato de definición del contexto externo

Criterio Fuente Sugerida Detalle

Ambiente del Negocio

Convenios Convenio de operaciones reciprocas con las entidades del estado.

Normativo y Político

Portal de Transparencia de

Epsel

Ley Orgánica de Municipalidades, Ley N° 27972.

Ley de la Actividad Empresarial del Estado, Ley N° 24948.

Ley General de sociedades, Ley N°26887. Ley General del Sistema Nacional de

Presupuesto, Ley 28411. Plan Nacional de Saneamiento 2006 – 2015,

D.S. N° 007 – 2006 – vivienda. Ley de Creación de la Superintendencia

Nacional de Servicios de Saneamiento, Decreto Ley Nº 25965.

Ley General del Ambiente, Ley N° 28611. Ley General de Servicios de Saneamiento Ley

Nº 26338 y su Reglamento. Estatutos de la empresa, reglamento

aprobado por D.S N° 09-95-PRES vigente, se cambia la denominación de EMAPAL por el de EPSEL S.A integrando a las municipalidades distritales.

Portal Institucional de SUNASS

Resolución Directiva N º 064. Resolución Directiva Nº 011.

Financiero

Entidades financieras

Gobierno francés. Banco Continental. BCP. Interbank. Banco de la Nación.

Criterio N Fuente Sugerida N Detalle N Criterio N+1 Fuente Sugerida N+1 Detalle N+1

… … … … … …

Fuente: Propia



DECE N°__ Pág. ___/ ___

Definición del contexto externo

Objetivo: Identificar los parámetros de fuente y detalle en cada criterio del contexto externo. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


58

Fase N° 02: Generar perfil de activos

La norma ISO 31000:2009, en su fase de establecimiento del contexto,

cita que es importante articular los objetivos de la organización,

estableciendo el alcance y los criterios de riesgo, se ha considerado que para

las empresas de saneamiento del norte del Perú, es importante definir este

alcance apoyándose en la fase 1 del Método OCTAVE que busca recopilar

información de toda la organización para determinar los perfiles de activos

críticos de la organización. Para ello se deben ejecutar los siguientes

procesos:

Proceso 1: Identificar los conocimientos de dirección

Este proceso tiene como finalidad captar el conocimiento desde el

punto de vista de la alta dirección para identificar los activos críticos, las

áreas que están involucradas, los requerimientos de seguridad y las

estrategias actuales de protección y vulnerabilidades organizacionales.

Actividad 1: Identificar de los activos críticos

1. Descripción:

Esta actividad tiene como objetivo que los miembros de la alta dirección

definan qué activos son críticos para ellos y la organización, que de

haberse afectados se produzca un impacto negativo en la continuidad del

proceso comercial.

2. Herramientas:

a. Entrevista para la alta dirección. (Entrevista Nº 01).

b. Formato de ingreso de activos críticos. (Tabla 4).

3. Responsable:





59


a. Listado de activos críticos para la alta dirección de las empresas de

saneamiento del norte del Perú.

6. Procedimiento:

a. Determinar en base al MOF y CAP, el personal de alta dirección con

quienes se ejecutará esta actividad.

b. Aplicar la entrevista dirigida a la alta dirección. (Entrevista Nº 01)

Nota: Es importante que los miembros de alta dirección asignen una

puntuación por grado de importancia a los activos que sean listados.

La escala a utilizar es: 1 a 5, siendo 5 el más importante.

c. Proceder a llenar la información en el formato de activos críticos.

(Tabla 4).

60

Tabla 4- Activos críticos

Proceso Código Categoría Activo Crítico Descripción

N°1

S_PF Servicios de Información

Proceso de Facturación

Proceso de cálculo de montos por los servicios de agua y alcantarillado de acuerdo a los consumos registrados en el proceso de medición y a la tarifa establecida para cada conexión, así como otros cargos a facturar (cuotas de convenio, intereses, cortes y rehabilitaciones, etc.).

SW_SGC Software Sistema de Gestión Comercial

Sistema de gestión comercial SICDESA, que automatiza todos los procesos comerciales.

SI_SBD Soporte de Información

Servidor de Base de Datos

Servidor que contiene el programa que gestiona la base de datos que almacena toda la información comercial.

Código N Categoría N Activo Crítico N Descripción N

Código N+1

Categoría N+1 Activo Crítico N+1

Descripción N+1

… … … …

… … … …

Fuente: Propia


LOGO

Fase: 02 Proceso: 01 Actividad: 01 CÓDIGO

IDAC N°__

Pág. ___/ ___

Identificación de activos críticos

Objetivo: Definir qué activos son críticos para la organización, que de haberse afectados se produzca un impacto negativo en la continuidad del proceso comercial.

TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:

Fecha Aplicación

___/___/_____

61

Actividad 2: Describir de las áreas de preocupación

1. Descripción:

Con esta actividad desde el punto de vista de la alta dirección, se

busca determinar qué situaciones pueden amenazar a los activos

críticos, identificados en la actividad anterior, que están implicados

en la operación de los procesos comerciales de las empresas de


2. Herramientas:

a. Identificación amenazas por activo. (Tabla 5).

3. Responsable:



a. Listado de activos críticos.


a. Listado de amenazas por activo. (Tabla 5).

6. Procedimiento:

a. Evaluar la entrevista Nº 01 aplicada en la actividad anterior.

b. Proceder a llenar la información en el formato de amenazas por

activo. (Tabla 5).

62

Tabla 5 - Identificación amenazas por activo

Proceso Código Activo Crítico Situación

N°

S_PF Proceso de Facturación Modificaciones de la normativa vigente. Restricción de tiempo de servicio y presión. Agua no facturada.

SW_SGC Sistema de Gestión Comercial

Abuso de privilegio de acceso. Inconsistencia de registro de información.

SI_SBD Servidor de Base de Datos Modificación de la información. Caída del servicio por agotamiento de recurso.

Código N Activo Crítico N Situación N Código N+1

Activo Crítico N+1 Situación N+1

… … … … … …

Fuente: Propia


LOGO


IAAC N°__ Pág. ___/ ___

Identificación de amenazas por activo crítico

Objetivo: Determinar qué situaciones pueden amenazar a los activos críticos. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


63

Actividad 3: Definir de requisitos de seguridad para los activos críticos.

1. Descripción:

En esta actividad, se busca obtener los requisitos de seguridad para

cada activo crítico, desde el punto de vista de la alta dirección de las

empresas de saneamiento del norte del Perú. Estos requisitos estarán

definidos en base a los criterios de continuidad, integridad y

disponibilidad de la información, pilares de la seguridad informática

y pueden ser de índole legal, regulatorios, contractual y aquellos que

hayan sido establecidos por la empresa o que el personal considere

crítico.

2. Herramientas:

a. Requisito de seguridad por activo crítico. (Tabla 6).

3. Responsable:



a. Listado de activos crítico.

b. Extraer información de la encuesta realizada.


a. Requerimiento de seguridad en base a criterios de integridad,

confidencialidad y disponibilidad de los activos críticos.

6. Procedimiento:

a. Evaluar la entrevista Nº 01 aplicada en la actividad anterior.

b. Proceder a llenar la información en el formato de requerimiento de

seguridad por activo crítico. (Tabla 6).

64

Tabla 6 - Requisito de seguridad por activo crítico

Activo Crítico

Confidencialidad Integridad Disponibilidad Apetito Tolerancia

S_PF La información

relacionada a la

evolución de los

montos facturados y

su distribución

tarifaria y geográfica

solo debe ser

accedida por el

personal que toma

de decisiones en

relación a este

proceso.

La información

relacionada al

proceso de

facturación

debe ser

coherente mes a

mes para poder

tomar las

decisiones

pertinentes.

La información

requerida y

generada en este

proceso debe estar

siempre a

disposición de las

gerencias y

personal que toma

decisiones.

Activo Crítico

N

Confidencialidad N Integridad N Disponibilidad N Apetito N

Tolerancia N

Activo Crítico N+1

Confidencialidad N+1

Integridad N+1 Disponibilidad N+1

Apetito N+1

Tolerancia N+1

… … … … … …

… … … … … …

Fuente: Propia


LOGO


DRSA N°__ Pág. ___/ ___

Determinación de requisitos de seguridad por activo crítico

Objetivo: Definir los requerimientos de seguridad de los activos críticos en base a los criterios de continuidad, integridad y disponibilidad de la información.

TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


65

Actividad 4: Identificar las estrategias actuales de protección

1. Descripción:

Esta actividad, desde el punto de vista de la alta dirección tiene como

objetivo identificar cuáles son las estrategias de protección con las que

actualmente cuentan los activos identificados.

2. Herramientas:

Cuadro de las estrategias actuales de activos críticos por área. (Tabla 7).

3. Responsable:






a. Estrategias actuales de protección y vulnerabilidades

organizacionales.

6. Procedimiento:

a. Evaluar la Encuesta N°01 aplicada en la actividad anterior.

b. Proceder a llenar la información en el formato de estrategias de

protección y vulnerabilidades organizacionales por activo (Tabla 7).

66

Tabla 7- Estrategias de protección y vulnerabilidades organizacionales por activo

Código de Activo

Activo Estrategias actuales de protección

S_PM Proceso de Medición Muestreo de padrones de toma de lectura.

S_PF Proceso de Facturación Muestreo de recibos facturados.

Código de Activo N

Activo N Estrategias actuales de protección N

Código de Activo N+1

Activo N+1 Estrategias actuales de protección N+1

… … …

… … … Fuente: Propia

LOGO


IEOA N°__ Pág. ___/ ___

Identificación de estrategias de protección y vulnerabilidades organizacionales por activo crítico

Objetivo: Identificar las estrategias actuales de protección. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:



67

Proceso 2: Identificar los conocimientos en el área de gestión operativa

Este proceso, tiene como finalidad captar el conocimiento desde el

punto de vista de los gestores operativos comerciales para identificar los

activos críticos, las áreas que están involucradas, los requerimientos de

seguridad y las estrategias actuales de protección y vulnerabilidades

organizacionales.


Los administradores de las áreas operativas completan la encuesta en

la que definen qué activos son críticos para ellos y la organización.

Priorizando los activos identificando los cinco más críticos.

1. Descripción:

Esta actividad tiene como objetivo que los gestores operativos

comerciales definan qué activos son críticos para ellos y la organización,

que de verse afectados, se produzca un impacto negativo a la operación

de los procesos de gestión comercial.

2. Herramientas:

a. Encuesta para la gestión operativa. (Encuesta Nº 01).

b. Formato de ingreso de activos críticos. (Tabla 4).

3. Responsable:






a. Listado de activos críticos para la gestión operativa de las empresas

de saneamiento del norte del Perú.

68

6. Procedimiento:

a. Determinar en base al MOF y CAP, el personal de gestión operativa

con quienes se ejecutará esta actividad.

b. Aplicar la encuesta dirigida a la gestión operativa (Encuesta Nº 01)

Nota: Es importante que los miembros de la gestión operativa asignen

una puntuación por grado de importancia a los activos que sean

listados. La escala a utilizar es: 1 a 5, siendo 5 el más importante.

c. Proceder a llenar la información en el formato de activos críticos

(Tabla 4).


1. Descripción:

Con esta actividad, desde el punto de vista de los gestores

operativos comerciales, se busca determinar qué situaciones pueden

amenazar a los activos críticos, identificados en la actividad anterior, que

están implicados en la operación de los procesos comerciales de las

empresas de saneamiento del norte del Perú.

2. Herramientas:

a. Identificación amenazas por activo. (Tabla 5).

3. Responsable:





a. Listado de amenazas por activo. (Tabla 5).

6. Procedimiento:

a. Evaluar la encuesta Nº 01 aplicada en la actividad anterior.

b. Proceder a llenar la información en el formato de amenazas por

activo (Tabla 5).

69

Actividad 3: Definir de los requisitos de seguridad para los activos críticos

1. Descripción:

En esta actividad busca obtener los requisitos de seguridad para cada

activo crítico, desde el punto de vista de los gestores operativos

comerciales de las empresas de saneamiento del norte del Perú. Estos

requisitos, estarán definidos en base a los criterios de continuidad,

integridad y disponibilidad de la información, pilares de la seguridad

informática y pueden ser de índole legal, regulatorios, contractual y

aquellos que hayan sido establecidos por la empresa o que el personal

considere crítico.

2. Herramientas:

a. Requisito de seguridad por activo crítico. (Tabla 6).

3. Responsable:



a. Listado de activos crítico.





6. Procedimiento:



seguridad por activo crítico. (Tabla 6).

70


1. Descripción:

Esta actividad desde el punto de vista de los gestores operativos

comerciales, tiene como objetivo identificar cuáles son las estrategias de

protección con las que actualmente cuentan, los activos identificados, así

también determinar sus vulnerabilidades.

2. Herramientas:

a. Cuadro de las estrategias actuales de activos crítico por área (Tabla 7).

3. Responsable:

a. Equipo de análisis:





a. Estrategias actuales de protección y vulnerabilidades organizacionales.

6. Procedimiento:

a. Evaluar la encuesta N°01 aplicada en la actividad anterior.



Proceso 3: Identificar los conocimientos del personal

Este proceso tiene como finalidad captar el conocimiento desde el

punto de vista del personal para identificar los activos críticos, las áreas que

están involucradas, los requerimientos de seguridad y las estrategias

actuales de protección y vulnerabilidades organizacionales.

71


1. Descripción:

Esta actividad tiene como objetivo que los miembros del personal definan

qué activos son críticos para ellos y la organización, que de haberse

afectados se produzca un impacto negativo, en la continuidad del

proceso comercial.

2. Herramientas:

a. Entrevista para el personal (Entrevista Nº 01).

b. Formato de ingreso de activos críticos (Tabla 4).

3. Responsable:






a. Listado de activos importantes para el personal de las empresas de


6. Procedimiento:

a. Determinar en base al MOF y CAP, para el personal con quienes se

ejecutará esta actividad.

b. Aplicar la entrevista dirigida al personal (Entrevista Nº 01).

Nota: Es importante que los miembros del personal asignen una

puntuación por grado de importancia a los activos que sean listados.

La escala a utilizar es: 1 a 5, siendo 5 el más importante.

c. Proceder a llenar la información en el formato de activos críticos

(Tabla 4).

72


1. Descripción:

Con esta actividad, desde el punto de vista del personal se busca

determinar, qué situaciones pueden amenazar a los activos críticos,

identificados en la actividad anterior, que están implicados en la

operación de los procesos comerciales de las empresas de saneamiento

del norte del Perú.

2. Herramientas:

a. Identificación amenazas por activo (Tabla 5).

3. Responsable:





a. Listado de amenazas por activo (Tabla 5).

6. Procedimiento:


b. Proceder a llenar la información en el formato de amenazas por activo

(Tabla 5).

Actividad 3: Definir de requisitos de seguridad para los activos críticos

1. Descripción:

Esta actividad, busca obtener los requisitos de seguridad para cada activo

crítico, desde el punto de vista del personal de las empresas de

saneamiento del norte del Perú. Estos requisitos estarán definidos en base

a los criterios de continuidad, integridad y disponibilidad de la

información, pilares de la seguridad informática y pueden ser de índole

legal, regulatorios, contractual y aquellos que hayan sido establecidos por

la empresa o que el personal considere crítico.

73

2. Herramientas:

a. Requisito de seguridad por activo crítico (Tabla 6).

3. Responsable:








6. Procedimiento:



seguridad por activo crítico (Tabla 6).


1. Descripción:

Esta actividad, desde el punto de vista del personal tiene como objetivo

identificar, cuáles son las estrategias de protección con las que

actualmente cuentan los activos identificados.

2. Herramientas:

a. Cuadro de las estrategias actuales de activos críticos por área (Tabla 7).

3. Responsable:






a. Estrategias actuales de protección y vulnerabilidades organizacionales.

74

6. Procedimiento:

a. Evaluar la encuesta N°01 aplicada en la actividad anterior.



Proceso 4: Identificar activos a gestionar

Este proceso tiene como objetivo determinar los activos de mayor

importancia, de acuerdo al puntaje obtenido desde los distintos puntos

organizacionales: dirección, gestión operativa y personal.

Actividad 1: Ponderar y priorizar la gestión de activos más críticos

1. Descripción:

En este proceso se recoge las listas de activos, requisitos de seguridad y

áreas de interés identificados en los procesos 1, 2 y 3, y se procede a

asignar un valor ponderado por activo para cada una de las áreas, para

finalmente determinar el puntaje final e identificar los activos críticos

para la organización.

2. Herramientas:

a. Cuadro de ponderación de activos (Tabla 8).

3. Responsable:



a. Lista de activos críticos.


a. Ponderación de activos.

6. Procedimiento:

a. Evaluar la entrevista Nº 01 y la encuesta Nº 01 aplicada.

b. Proceder a llenar la información en el formato de ponderación de

activo (Tabla 8).

75

Tabla 8- Ponderación de activos

Puntuación

Código Categoría Activo Crítico Dirección Operativa Personal Gestor

de Riesgo

Promedio

S_PM Servicios de Información

Proceso de Medición

5 5 4 4 4.5



5 5 4 5 4.75

SW_SGC Software Sistema de Gestión Comercial.

5 5 5 5 5



5 5 5 5 5

Código N Categoría N Activo Crítico N

Dirección N

Operativa N

Personal N

Gestor de Riesgo N

Promedio N

Código N+1

Categoría N+1 Activo Crítico N+1

Dirección N+1

Operativa N+1

Personal N+1

Gestor de Riesgo N+1

Promedio N+1

… … … … … … … …

… … … … … … … …

Fuente: Propia


LOGO


POAC N°__ Pág. ___/ ___

Ponderación de activos críticos

Objetivo: Ponderar y priorizar la gestión de activos más críticos. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


76

Fase N° 03: Identificar los riesgos

Al identificar los riesgos, se busca determinar las acciones o

circunstancias que podrían causar una pérdida potencial y comprender

cómo, dónde y por qué puede ocurrir dicha pérdida; identificando los

activos, amenazas, medidas de seguridad, vulnerabilidades y sus

consecuencias.

Proceso 1: Crear perfil de amenaza

Esta fase, tiene como objetivo generar una lista de riesgos basada en

aquellas situaciones que puedan afectar los activos implicados en la

operación de los procesos comerciales.

Para poder gestionar los activos se ha utilizado MARGERIT versión 3.0

donde se clasifican, se desarrolla la dependencia entre ellos en un diagrama

y se valoró en base a los criterios de la seguridad de la información:

disponibilidad, integridad y confidencialidad. Con la finalidad de determinar

el impacto que tendría la materialización de algún riesgo.

Actividad 1: Clasificación de activos

1. Descripción:

En esta actividad, se procede a clasificar los activos críticos, identificados

en la fase 2, en las categorías establecidas por el Método MAGERIT

(servicios de información, software, hardware y soporte de información).

2. Herramientas:

a. Lista de clasificación de activos (Tabla 9).

3. Responsable:

a. Equipo analista.


a. Lista de activos obtenidas de la Fase 2.

77


a. Clasificación de activos.

6. Procedimiento:

a. Evaluar la lista de activos obtenidas en la fase 2.

b. Clasificar los activos siguiendo las siguientes consideraciones:

✓ [S] Servicios de Información: Los datos son el corazón que permite

a una organización prestar sus servicios, el cual serán transferidos

de un lugar a otro por los medios de transmisión de datos.

✓ [SW] Software: Tareas que han sido automatizadas para su

desempeño por un equipo informático; los cuales gestionan,

analizan y transforman los datos permitiendo la explotación de la

información para la prestación de los servicios.

✓ [HW] Hardware: Son bienes materiales, físicos, destinados a dar

soporte a los servicios que presta la organización del sector de

saneamiento, siendo depositarios temporales o permanentes de los

datos de soporte de ejecución de las aplicaciones informáticas o

responsables del procesado o la transmisión de datos.

✓ [SI] Soporte de Información: Se consideran dispositivos físicos que

permiten almacenar información de forma permanente o, durante

largos períodos de tiempo.

c. Proceder a llenar la información en los formatos correspondientes de

acuerdo a la clasificación que le corresponda de amenazas por activo

(Tabla 9).

78

Tabla 9- Lista de clasificación de activos

Ítem Activos Código Categoría

[S] [SW] [HW] [SI]

1 Proceso de Medición [S_PM] X

2 Proceso de Facturación [S_PF] X

3 Sistema de Gestión Comercial [SW_SGC] X

4 SICAP [SW_SICAP] X

5 Impresoras [HW_IMP] X

6 Estación de Trabajo [HW_PC] X

7 Servidor Web [SI_SWEB] X

8 Servidor DNS [SI_SDNS] X

9 Servidor de Base de Datos [SI_SBD] X

10 Activos N Código N [S] N [SW] N

[HW] N [SI] N

11 Activos N+1 Código N+1 [S] N+1 [SW] N+1

[HW] N+1

[SI] N+1

… … … … … … …

… … … … … … …

Fuente: Propia


LOGO


LCAC N°__ Pág. ___/ ___

Lista de clasificación de activos críticos

Objetivo: Clasificar los activos. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


79

Actividad 2: Dependencia de activos

1. Descripción:

En este apartado se identifican los activos y se establece una relación de

dependencia. Para establecer la relación de dependencia de activos se

debe tener en cuenta:

✓ Identificación de activos: Se propone establecer las categorías

identificadas mediante la encuesta y entrevista: servicios de

información, software, hardware y soporte de información

correspondiente a las empresas del sector de saneamiento del norte

del Perú.

✓ Establecer las líneas de dependencia: Esta actividad, permite establecer

las líneas de soporte entre categorías con respecto a los activos,

apoyando en la determinación de los activos críticos y el impacto que

representaría de manifestarse el riesgo.

2. Herramientas:

a. Diagrama de dependencia de activos (Diagrama 1).

3. Responsable:

a. Equipo analista.


a. Lista de clasificación de activos.

5. Información de salida.

a. Dependencia de activos.

6. Procedimiento:

a. Evaluar la entrevista N° 01 y la Encuesta Nº 01 aplicada en la fase

anterior.

b. Proceder a relacionar la lista de clasificación activos en el diagrama de

dependencia (Diagrama 1).

80

Diagrama 1: Dependencias de activos


LOGO


DDAC N°__ Pág. ___/ ___

Diagrama de dependencias de activos críticos

Objetivo: Establecer una relación de dependencia. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


81

Actividad 3: Valoración de activos

1. Descripción:

La valoración de activos debe ser identificada desde una visión TOP-DOWN,

para asignar el valor de acuerdo al grado de importancia teniendo en cuenta

los criterios de disponibilidad, integridad y confidencialidad con una

valoración cuantitativa y cualitativa.

Para el proceso de valoración, se recomienda usar la Escala de Likert, que

permite medir grados de conformidad con respecto a los criterios

mencionados. Además de establecer rangos de valoración que en el caso se

estableció del 1 al 5, permitiéndonos tener la amplitud suficiente para la

valoración.

2. Herramientas:

a. Valoración de criterio de confidencialidad (Tabla 10).

b. Valoración de criterio de disponibilidad (Tabla 11).

c. Valoración de criterio de integridad (Tabla 12).

d. Tabla de valoración de los niveles de criticidad de activos (Tabla 13).

e. Cuadro de valoración de activos (Tabla 14).

3. Responsable:

a. Equipo analista.


a. Lista de clasificación de activos.


a. Lista de activos valorizados.

6. Procedimiento:

a. Valorar los activos tomando en cuenta los siguientes criterios:

✓ Confidencialidad (C): Información debe ser accedida sólo por las personas

autorizadas (Tabla 10).

82

✓ Disponibilidad (D): Acceso a la información cuando se necesita (Tabla 11).

✓ Integridad (I): Exactitud y totalidad de la información (Tabla 12).

b. Proceder a llenar la información en el formato de valorización de activo

(Tabla 14).

Tabla 10- Valoración de criterio de confidencialidad

CONFIDENCIALIDAD (C) Valor Criterio

1 De carácter público, no requiere control y no tiene impacto

negativo en la empresa.

2 De menor importante, no afecta los procesos comerciales,

requiere control mínimo, no tiene impacto negativo en la

empresa.

3 Cuasi importante para la gestión comercial de la empresa requiere

nivel bajo de control, impacta levemente a la empresa.

4 Importante para la gestión comercial de la empresa requiere nivel

medio de control, impacta negativamente a la empresa.

5 De vital importancia para la gestión comercial de la empresa,

requiere nivel alto de control, impacta seria y negativamente a la

empresa.

Fuente: Propia

Tabla 11- Valoración de criterio de disponibilidad

DISPONIBILIDAD (D) Valor Criterio

1 Información cuya inaccesibilidad no afecta la operación de los

procesos comerciales.

2 Información cuya inaccesibilidad permanente de al menos 10%

del tiempo durante la jornada laboral podría impedir la ejecución

83

DISPONIBILIDAD (D) Valor Criterio

de los procesos comerciales la empresa



de los procesos comerciales de la empresa



de los procesos comerciales de la empresa

5 Información cuya inaccesibilidad permanente de al menos el 95%

del tiempo durante la jornada laboral podría ocasionar un

perjuicio significativo para la empresa

Fuente: Propia

Tabla 12- Valoración de criterio de integridad

INTEGRIDAD (I) Valor Criterio

1 Irrelevante para la correcta operación de los procesos

comerciales.

2 Se puede recuperar de una forma bastante fácil.

3 Se puede recuperar guardando la relación pertinente con una

molestia razonable.

4 Es factible recuperar la integridad del activo en un tiempo

razonable.

5 No es posible recuperar el activo y sus relacionados.

Fuente: Propia

Nivel de valoración = Confidencialidad + Integridad + Disponibilidad

84

Aplicando en dicha ecuación la siguiente valoración clasificada de la siguiente

manera:

Tabla 13- Valoración de los niveles de criticidad de activos

Rango Valor Descripción Criterio 0 1 Muy Bajo MB Irrelevante en la operación

de los procesos comerciales 1 – 3 2 Bajo B Afecta levemente la

operación de los procesos comerciales al menos un 10% del tiempo de la jornada laboral, no implica pérdida de información.

4 – 6 3 Medio M Afecta la operación de los procesos comerciales al menos un 50% del tiempo de la jornada laboral, no implica pérdida de información.

7 – 9 4 Alto A Afecta la operación de los procesos comerciales al menos un 80% del tiempo de la jornada laboral, puede implicar pérdida de información.

Igual o mayor

a 10

5 Muy Alto MA Paraliza la operación de los procesos comerciales al menos un 95% del tiempo de la jornada laboral, e implica pérdida de información.

Fuente: Propia

85

Tabla 14 - Valoración de activos

ACTIVO CRITERIOS

N° Ítem

Etiqueta Categoría

Código activo

Descripción del activo

Valoración confidencialidad

Valoración de Integridad

Valoración de Disponibilidad

TOTAL

1 [S] [S_PM] Proceso de Medición

5 5 5 15 MA

2 [S] [S_PF] Proceso de Facturación

5 5 5 15 MA

3 [SW] [SW_SGC] Sistema de

Gestión Comercial

5 5 5 15 MA

4 [SI] [SI_SBD] Servidor de Base

de Datos 5 5 5 15 MA

5 Etiqueta Categoría N

Código activo N

Descripción del activo N

Valoración confidencial N

Valoración de Integridad N

Valoración de Disponibilidad N

Total N

Total N

6 Etiqueta Categoría N+1

Código activo N+1

Descripción del activo N+1

Valoración confidencial N+1

Valoración de Integridad N+1

Valoración de Disponibilidad N+1

Total N+1

Total N+1

… … … … … … … … …

Fuente: Propia


LOGO


VDAC N°__ Pág. ___/ ___

Valoración de activos críticos

Objetivo: Valorar los activos. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


86

Actividad 4: Identificación de las amenazas y vulnerabilidades

1. Descripción:

Esta actividad, tiene como objetivo identificar las vulnerabilidades y amenazas

que se ciernen contra cada uno de los activos valorizados en la actividad

anterior.

Una vulnerabilidad, es cualquier situación que pueda desembocar en un

problema de seguridad, y una amenaza es la acción específica que aprovecha

una vulnerabilidad para crear un problema de seguridad; entre ambas existe

una estrecha relación: sin vulnerabilidades no hay amenazas, y sin amenazas

no hay vulnerabilidades.

2. Herramientas:

a. Tabla de criterios de valoración de amenaza (Tabla 15).

b. Tabla de Matriz de valorización de la amenaza (Tabla 16).

c. Tabla de la valoración de la amenaza (Tabla 17).

d. Tabla de criterios de valoración de vulnerabilidad (Tabla 18).

e. Tabla de cruce de severidad – exposición (Tabla 19).

f. Tabla de identificación de las vulnerabilidades (Tabla 20).

g. Tabla de valorización de la vulnerabilidad (Tabla 21).

3. Responsable:



a. Lista de activos.


a. Valoración de vulnerabilidad.

87

6. Procedimiento:

a. Analizar la información obtenida en la fase 1, para adicionar las amenazas

que no estén consideradas en el listado de la tabla 17.

b. Proceder a llenar la tabla 17 catalogando los activos valorizados en la

actividad anterior de acuerdo a las amenazas a las que pueden estar

expuestos.

Para asignar los valores relacionados a la motivación y capacidad se debe

considerar a la tabla 15, y el valor final de la amenaza se obtendrá usando la

tabla 16 - Matriz de valorización de la amenaza.

c. Sobre las amenazas que afectan a cada activo se procederá a llenar la tabla

20- Identificación de las vulnerabilidades, que tiene por finalidad determinar

que vulnerabilidades tienen cada uno de los activos identificados frente a los

riesgos determinados.

d. En base a la valorización considerada en la tabla 18 criterios de valoración

de vulnerabilidad, se procede a llenar la tabla 21 - Valorización de la

vulnerabilidad, para asignar el valor de la vulnerabilidad se deberá usar el

tabla 19 -Cruce de severidad - exposición.

Tabla 15 - Criterios de valoración de amenaza

Valor Capacidad Motivación

1 Poca o nula capacidad de realizar el ataque. Cumple con menos del 30% del perfil del responsable del proceso y con menos el 20% de los accesos al proceso.

Poca o nula motivación. No se está inclinando a actuar.

2 (1) Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. Cumple con menos del

Nivel moderado de motivación. Se actuará si se le pide o provoca.

88

Valor Capacidad Motivación

60% del perfil del responsable del proceso y con menos el 40% de los accesos al proceso.

(2) Tiene suficientes recursos, pero conocimiento y habilidades limitadas. Cumple con menos del 40% del perfil del responsable del proceso y con menos el 60% de los accesos al proceso.

3 Altamente capaz. Se tienen los conocimientos, habilidad y recursos necesarios para realizar un ataque. Cumple con menos del 80% del perfil del responsable del proceso y con al menos el 70% de los accesos al proceso.

Altamente motivado. Casi seguro que intentará el ataque

Fuente: Propia

Tabla 16- Matriz de valorización de la amenaza

Capacidad

Motivación

1 2 3

1 1 2 3

2 2 3 4

3 3 4 5

Fuente: Propia

89

Tabla 17- Valoración de la amenaza

N° Amenazas Activos Capacidad Motivación Valor amenaza

1 Fuego SI_SBD 3 1 3

2 Daños por agua SI_SBD 3 1 3

3 Desastres naturales SI_SBD 1 1 1

4 Corte de suministro eléctrico SI_SBD 2 2 3

5 Condiciones inadecuadas de

temperatura o humedad

SI_SBD 1 1 1

6 Fallo de servicios de

comunicaciones

SI_SBD 2 2 3

7 Amenazas N Activos N Capacidad N Motivación N Valor amenaza N

… … …. …. …. …

Fuente: Propia


Tabla 18- Criterios de valoración de vulnerabilidad

LOGO


DVDA N°__ Pág. ___/ ___

Determinación del valor de la amenaza

Objetivo: Identificar las amenazas bajo los criterios de capacidad y motivación. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


90

Valor Severidad Exposición

1

Severidad Menor: Se requiere una cantidad

significativa de recursos para explotar la

vulnerabilidad y tiene poco potencial de

pérdida o daño en el activo. Tiene un nivel de

acceso a la operación del proceso menor al

10% del total de privilegios requeridos y afecta

solo a 1 de los 6 procesos comerciales.

Exposición Menor: Los efectos de

vulnerabilidad son mínimos. No

incrementa la posibilidad de que

vulnerabilidades adicionales sean

explotadas.

2

Severidad Moderada:

(1) Se requiere una cantidad significativa de

recursos para explotar la vulnerabilidad y

tiene un potencial significativo de pérdida

o daño en el activo; Tiene un nivel de

acceso a la operación del proceso menor

al 50% del total de privilegios requeridos y

afecta a por lo menos 3 de los 6 procesos

comerciales considerados.

(2) Se requiere pocos recursos para explotar

la vulnerabilidad y tiene un potencial

moderado de pérdida o daño en el activo.

Tiene un nivel de acceso a la operación

del proceso menor al 30% del total de

privilegios requeridos y afecta a por lo

menos 3 de los 6 procesos comerciales

considerados.

Exposición Moderada: La vulnerabilidad

puede afectar a más de un elemento o

componente del sistema. La explotación

de la vulnerabilidad aumenta la

posibilidad de explotar vulnerabilidades

adicionales.

3

Severidad Alta: Se requieren pocos recursos

para explotar la vulnerabilidad y tiene un

potencial significativo de pérdida o daño en el

activo. Tiene un nivel de acceso a la

operación del proceso de más del 80% del

total de privilegios requeridos y afecta a por lo

menos 4 de los 6 procesos comerciales

considerados.

Exposición Alta: La vulnerabilidad afecta

a la mayoría de los componentes del

sistema. La explotación de la

vulnerabilidad aumenta

significativamente la posibilidad de

explotar vulnerabilidades adicionales.

Fuente: Propia

91

Tabla 19- Cruce de severidad – exposición

Severidad

Exposición

1 2 3 1 1 2 3

2 2 3 4

3 3 4 5

Fuente: Propia

92

LOGO


IDVU N°__ Pág. ___/ ___

Identificación de las vulnerabilidades

Objetivo: Identificar las vulnerabilidades. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


Tabla 20- Identificación de las vulnerabilidades

Ítem Código

del Riesgo

Código de Activo

Activo Amenaza Vulnerabilidad

49 R49 SI_SBD Servidor de Base de Datos Fuego Deficiencia en infraestructura de la sala de servidores.

50 R50 SI_SBD Servidor de Base de Datos Fuego Deficiencia en las políticas de copias de seguridad.

51 R51 SI_SBD Servidor de Base de Datos Daños por agua Deficiencia en infraestructura de la sala de servidores.

52 R52 SI_SBD Servidor de Base de Datos Daños por agua Deficiencia en las políticas de copias de seguridad.

53 Código del Riesgo N

Código de Activo N

Activo N Amenaza N Vulnerabilidad N

54

Código del Riesgo N+1


Activo N+1 Amenaza N+1 Vulnerabilidad N+1

… …. … … … …

… …. … … … …

Fuente: Propia


93

LOGO


DVVU N°__ Pág. ___/ ___

Determinación del valor de la vulnerabilidad

Objetivo: Determinar las vulnerabilidades bajos los criterios de severidad y exposición. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


Tabla 21- Valorización de la vulnerabilidad

Ítem Código

Riesgo

Código de

Activo

Activo Amenaza Vulnerabilidad Severidad Exposición Valor

Vulnerabilidad

49 R49 SI_SBD Servidor de Base de Datos

Fuego Deficiencia en infraestructura de la sala de servidores

2 3 4


Fuego Deficiencia en las políticas de copias de seguridad

2 3 4


Daños por agua

Deficiencia en infraestructura de la sala de servidores

3 3 5


Daños por agua

Deficiencia en las políticas de copias de seguridad

3 3 5

53 Código

Riesgo N

Código de

Activo N

Activo N Amenaza N Vulnerabilidad N Severidad N Exposición N Valor

Vulnerabilidad N

54

Código

Riesgo N+1

Código de

Activo N+1

Activo N+1 Amenaza

N+1

Vulnerabilidad N+1 Severidad

N+1

Exposición

N+1

Valor

Vulnerabilidad

N+1

… … … … … … … … …

Fuente: Propia


94

FASE N° 04: Análisis de riesgos

La norma ISO 31000:2009, en su fase de apreciación del riesgo, indica que

el análisis del riesgo permite tomar las decisiones, acerca de si es necesario tratar

los riesgos y permite determinar los métodos de tratamiento más apropiados

además de proporcionar los elementos para tomar decisiones cuando es

necesario hacer algún tipo de elección y los diferentes niveles de riesgo.

Para ello se expresa las consecuencias (impacto) y la posibilidad, así como

la manera en que ambas se combinan para determinar el nivel de riesgo de cada

una de las amenazas identificadas, para los activos críticos de la organización,

finalmente clasificarlas en un cuadro de prioridad.

Proceso 1: Determinación de posibilidad

1. Descripción:

En este proceso se determina el valor de la posibilidad de que un riesgo se

materialice a causa de una determinada vulnerabilidad.

2. Herramientas:

a. Tabla de definición de posibilidad (Tabla 22).

3. Responsable:

a. Equipo analista.


a. Listado de vulnerabilidad de los activos.


a. Valoración de vulnerabilidades.

6. Procedimiento:

a. Para cada vulnerabilidad detectada para los activos críticos, se procede a

asignar un valor de posibilidad de acuerdo a la tabla 22.

b. Proceder a llenar la información en la tabla 24 de la matriz del nivel de

riesgo en lo que corresponde al valor de la posibilidad.

95

Tabla 22- Definición de la posibilidad de ocurrencia

Valor Criterio de Posibilidad Descripción

1 Casi imposible Es casi inconcebible que el suceso ocurra – 0%de ocurrencias históricamente en la región.

2 Raro

Poco posible que ocurra (no se sabe que haya ocurrido alguna vez) – 0% de ocurrencias históricamente en la empresa.

3 Posible Posible que ocurra (ha ocurrido raramente) – Menos del 10% del total de incidencias en la empresa.

4 Muy posible

Posible que ocurra algunas veces (no ha ocurrido con frecuencia) – Menos del 50% del total de incidencias en la empresa.

5 Casi cierto

Posible que ocurra muchas veces (ha ocurrido con frecuencia) Más del 80% del total de incidencias en la empresa.

Fuente: Propia

Proceso 2: Análisis de impacto

1. Definición:

Esta actividad nos permite medir los efectos adversos resultantes de la

materialización de un riesgo para cada uno de los riesgos identificados para

cada activo crítico.

2. Herramientas:

a. Cuadro de definición de la magnitud del impacto (Tabla 23).

3. Responsable:

a. Equipo analista.


96

a. Lista de vulnerabilidades de los activos.


a. Matriz de evaluación de riesgos.

6. Procedimiento:

a. Para cada vulnerabilidad detectada para los activos críticos, se procede a

asignar un valor de impacto de acuerdo a la tabla 23.

b. Proceder a llenar la información en la tabla 24 de la matriz del nivel de

riesgo en lo que corresponde al valor del impacto.

Proceso 3: Determinación del riesgo

1. Descripción:

Este proceso, se encarga de determinar el nivel del riesgo a través de los valores

sensibilidad de activos, análisis de vulnerabilidad y análisis de amenaza.

Aplicando unas escalas de la magnitud del impacto podremos saber qué tanto

influye en los procesos (Bajo, medio, alto).

2. Herramientas:

a. Tabla de criterio de impacto (Tabla 23).

b. Tabla de criterio de posibilidad (Tabla 22).

c. Tabla de matriz del nivel de riesgo (Tabla 24).

3. Responsable:

a. Equipo analista.

4. Información de entrada.

a. Lista de vulnerabilidades de los activos.


a. Matriz del nivel de riesgo.

6. Procedimiento:

97

a. Calcular el nivel de riesgo que resulta del producto del valor de amenaza,

vulnerabilidad, posibilidad y el impacto, asignados en las actividades

anteriores.

b. Proceder a llenar la información en el formato de matriz de riesgo (Tabla 23).

Tabla 23 - Criterio de impacto

Valor Criterio Definición del impacto

1 Insignificante No requiere un esfuerzo extra para restablecer la operación de los procesos comerciales.

2 Menor Puede implicar un tiempo de recuperación menor al 10% del tiempo de la jornada laboral y en la pérdida de algunos bienes, material o recursos.

3 Moderada Puede implicar un tiempo de recuperación menor al 50% del tiempo de la jornada laboral y en la pérdida de bienes, material o recursos.

4 Mayor Puede implicar un tiempo de recuperación menor al 80% del tiempo de la jornada laboral y en la pérdida de costosa de bienes, material o recursos.

5 Catastrófico Puede implicar un tiempo mayor al 80.1% del tiempo de la jornada laboral, la paralización total de los procesos comerciales y en la pérdida de costosa de bienes, materiales o recursos.

Fuente: Propia

98


MDNRN°__ Pág. ___/ ___

Matriz del nivel de riesgo

Objetivo: Determinar el nivel del riesgo a través de los valores sensibilidad de activos, análisis de vulnerabilidad y análisis de amenaza.

TIPO

Actores

Elaborado Por:

Fecha Elaboración ___/___/_____

Revisado Por:

Aprobado Por:


Tabla 24- Matriz del nivel de riesgo

Ítem Código del

Riesgo Código de

Activo Activo Amenaza Vulnerabilidad

Valor Amenaza (1)

Valor Vulnerabilidad (2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total (1)x(2)x(5)



3 4 2 5 10 120



3 4 2 5 10 120


Daños por agua Deficiencia en infraestructura de la sala de servidores

3 5 2 5 10 150


Daños por agua Deficiencia en las políticas de copias de seguridad

3 5 2 5 10 150


Código de Activo N

Activo N Amenaza N Vulnerabilidad N Valor Amenaza

(1) N Valor Vulnerabilidad

(2) N Posibilidad

(3) N Impacto

(4) N

Riesgo (3)x(4) (5) N

Riesgo Total (1)x(2)x(5) N

54 Código del Riesgo N+1


Activo N+1 Amenaza N+1 Vulnerabilidad N+1 Valor Amenaza

(1) N+1 Valor Vulnerabilidad

(2) N+1 Posibilidad

(3) N+1 Impacto

(4) N+1

Riesgo (3)x(4) (5) N+2

Riesgo Total (1)x(2)x(5) N+1

… … … … … … … … … … … …

… … … … … … … … … … … …

Fuente: Propia


99

FASE N° 05: Evaluación del riesgo

La Norma ISO 31000:2009, en el proceso de evaluación de la fase de

apreciación de riesgo, busca determinar en base a los resultados del análisis de

riesgos, cuáles deben ser tratados y la prioridad para implementar el tratamiento.

Proceso 1: Elaboración de la matriz de clasificación del riesgo

1. Descripción:

Este proceso tiene como objetivo clasificar a los riesgos según su prioridad de

tratamiento con análisis adicionales.

A través de una tabla de clasificación de riesgos según posibilidad e impacto,

establecer si el riesgo se evita, se asume, se transfiere.

2. Herramientas:

a. Cuadro de matriz de clasificación de riesgos (Tabla 25).

3. Responsable:

a. Equipo analista.


a. Matriz de nivel de riesgo.


a. Cuadro de priorización de riesgos.

6. Procedimiento:

a. En base a la matriz de nivel de riesgo, se deberá obtener el valor del

producto de la posibilidad y el impacto, para cada evento de amenaza, con

estos valores se debe llenar la tabla 26 - Matriz de clasificación de riesgos.

b. Con los valores calculados en el numeral anterior se procede a ubicar el

evento en la matriz de clasificación de riesgos. Proceder a llenar la

información en el formato de amenazas por activo de la tabla 17. Finalmente

de acuerdo a la semaforización de la matriz de clasificación se procederá a

100

asignar en la tabla 27 priorización del riesgo, el valor de la prioridad de cada

riesgo.

Leyenda 1: Leyenda de prioridad

Fuente: Propia Tabla 25- Matriz de clasificación de riesgos

PO

SIB

ILID

AD

Casi seguro (5)

Moderada Alta Extrema Extrema Extrema

Asumir Reducir

Reducir Evitar

Compartir o transferir

Reducir Evitar


Reducir Evitar


Reducir Evitar


Probable (4)

Moderada Alta Alta Extrema Extrema

Asumir Reducir

Reducir Evitar


Reducir Evitar


Reducir Evitar


Reducir Evitar


Posible(3)

Baja Moderada Alta Alta Extrema

Asumir

Asumir Reducir

Reducir Evitar


Reducir Evitar


Reducir Evitar


Improbable (2)

Baja Baja Moderada Alta Alta

Asumir Asumir

Asumir Reducir

Reducir Evitar


Reducir Evitar


Raro (1)

Baja Baja Baja Moderada Moderada

Asumir Asumir Asumir Asumir Reducir

Asumir Reducir

INSIGNIFICANTE (1)

MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5)

IMPACTO

Fuente: Propia

Prioridad 4 1 – 3

Prioridad 3 4 – 6

Prioridad 2 8 - 12

Prioridad 1 15 - 25

101

LOGO

Fase: 05 Proceso: 01 Actividad: - CÓDIGO

MDCR N°__ Pág. ___/ ___

Matriz de clasificación de riesgos

Objetivo: Elaborar la matriz de clasificación del riesgo. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


Tabla 26– Ejemplo de Matriz de clasificación de riesgos

Fuente: Propia


102

Tabla 27- Priorización del riesgo

N Código de

riesgo

Posibilidad [P] Impacto [I] ([P]x[I]) Prioridad

49 R49 2 5 10 Alta

50 R50 2 5 10 Alta

51 R51 2 5 10 Alta

52 R52 2 5 10 Alta

53 R53 1 5 5 Moderada


55 R55 2 5 10 Alta


57 R57 2 5 10 Alta

58 R58 2 5 10 Alta

59 R59 4 5 20 Extrema

60 R60 4 5 20 Extrema

61 R61 3 5 15 Extrema

62 R62 3 5 15 Extrema

63 R63 5 5 25 Extrema

64 R64 3 5 15 Extrema

65

Código de

riesgo N

Posibilidad [P] N Impacto [I] N ([P]x[I]) N Prioridad N

… … … … … …

… … … … … …

Fuente: Propia


LOGO


PRDR N°__ Pág. ___/ ___

Priorización del riesgo

Objetivo: Priorizar los riesgos. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


103

Proceso 2: Valorización del riesgo

Este proceso, nos permite evaluar los riesgos determinados para cada

activo en relación a los criterios de apetito y tolerancia determinado por la

empresa, y así determinar si se trata de un riesgo aceptable o debe ser tratado.

Actividad 1: Determinar la capacidad en base a los límites de tolerancia y apetito

de riesgo

1. Descripción:

Esta actividad proporciona por cada riesgo, límites de tolerancia, capacidad y

apetito del riesgo para determinar si puede ser aceptable.

Según la ISO (Guide 73:2009, 2009) define los siguientes conceptos:

✓ Apetito: Cantidad de riesgo que está dispuesta a asumir la organización.

✓ Tolerancia: Cantidad de riesgo que podría llegar a asumir la organización.

✓ Capacidad: Es el riesgo máximo asumible sin comprometer los objetivos.

2. Herramientas:

a. Matriz de valoración de riesgos (Tabla 28).

3. Responsable:

a. Equipo analista.

4. Información de entrada.

a. Cuadro de priorización de riesgo.


a. Matriz de valoración de riesgos.

6. Procedimiento:

a. Evaluar la entrevista N°01 aplicada en la actividad anterior.

b. Proceder a llenar la información en el formato de amenazas por activo

(Tabla 5).

104

Tabla 28- Matriz de valorización de riesgos

Ítem Código

del Riesgo

Código de

Activo Activo Amenaza Vulnerabilidad Riesgo Prioridad Apetito Tolerancia Nivel

10 R10 HW_IMP Impresoras Fuga de información

Ausencia de un plan de seguridad.

1 Baja 5 10 Aceptable


Fuego Deficiencia en infraestructura de la sala de servidores.

10 Alta 0.25 2.5 Debe ser tratado


Desastres naturales

Deficiencia en infraestructura de la sala de servidores.

5 Moderada 0.25 2.5 Debe ser tratado


Desastres naturales

Políticas de copias de seguridad deficiente



Errores de configuración

Ausencia de Plan de Gestión de Configuración

20 Extrema 0.25 2.5 Debe ser tratado


Código de Activo N

Activo N Amenaza N Vulnerabilidad N Riesgo N

Prioridad N

Apetito N

Tolerancia N

Nivel N

61

Código del Riesgo N+1


Activo N+1 Amenaza N+1

Vulnerabilidad N+1 Riesgo N+1

Prioridad N+1

Apetito N+1

Tolerancia N+1

Nivel N+1

… … … … … … … … … … …

Fuente: Propia


LOGO


MDVR N°__ Pág. ___/ ___

Matriz de valorización de riesgos

Objetivo: Determinar la capacidad en base a los límites de tolerancia y apetito de riesgo.

TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


105

FASE N° 06: Plan de acción - políticas de administración de riesgos

Esta fase busca establecer los parámetros para administrar los riesgos

identificados de acuerdo a los niveles establecidos, con el fin de aplicar medidas

necesarias que permitan crear una base confiable para la toma de decisiones,

asignar y utilizar eficazmente los recursos para el tratamiento de los riesgos y

asegurar de esta forma la continuidad en la operación de los procesos

comerciales.

Proceso 1: Definición del plan de seguridad

Este proceso tiene, como finalidad diseñar planes de seguridad de acuerdo

a las decisiones que se tomen en base al resultado de la fase de evaluación de

riesgos. Para obtener este plan será necesario elaborar un conjunto armónico de

programas de seguridad que traduzcan las decisiones de tratamiento de los riesgos

en acciones concretas, buscando llevar el impacto riesgo a los niveles residuales

determinados por la empresa mediante el establecimiento y la ejecución de los

proyectos de seguridad que se identifiquen.

Actividad 1: Identificación de proyectos de seguridad

1. Descripción:

Esta actividad, tiene como objetivo realizar acciones o proyectos que ayuden

en el tratamiento del riesgo, donde se implementen estrategias de respuesta al

riesgo que reduzca la posibilidad que ocurra o disminuya el impacto en los

objetivos estratégicos de la organización.

2. Herramientas:

a. Inventario de proyectos (Tabla 29).

3. Responsable:

a. Equipo analista.

106


a. Matriz de valoración de riesgos.


a. Formato de inventario de proyectos.

b. Fichas de proyecto.

6. Procedimiento:

a. Evaluar la matriz de valoración de riesgos y determinar de acuerdo al nivel

de cada riesgo el tipo de acción que le corresponde y el proyecto que se

debe evitar, transferir, mitigar y aceptar el riesgo según COBIT 5.

b. Proceder a llenar la tabla 29 - Inventario de proyectos.

c. Para cada proyecto se llenara la ficha del proyecto que se muestra en la tabla

30.

d. Proceder a actualizar la tabla 29 - Inventario de proyectos, con la

información del costo de cada proyecto.

107

Tabla 29- Inventario de proyectos

Ítem Código Riesgo

Código activo

Activo Amenaza Vulnerabilidad Valor

Riesgo Nivel Acciones Proyecto Costo




400 Extrema Reducir Implementar plan de gestión de configuración de todos los equipos

S/.10,800.00


Fuga de información Ausencia de un plan de seguridad.

400 Extrema Reducir Implementar plan de seguridad S/.112,500.00


Introducción de falsa información

Carencia de políticas de revisión por muestreo

180 Extrema Reducir Definir e implementar política de supervisión por muestreo para los diferentes procesos comerciales.

S/.1,500.00



Carencia de un plan de supervisión

180 Extrema Reducir Implementar un plan de supervisión S/.8,100.00

7 Código

Riesgo N Código activo N

Activo N Amenaza N Vulnerabilidad N Valor

Riesgo N Nivel N

Acciones N

Proyecto N Costo N

8 Código Riesgo N+1

Código activo N+1

Activo N+1 Amenaza N+1 Vulnerabilidad N+1 Valor

Riesgo N+1

Nivel N+1

Acciones N+1

Proyecto N+1 Costo N+1

… … … … … … … … … … …

… … … … … … … … … … …

Fuente: Propia


LOGO Fase: 06 Proceso: 01 Actividad: 01 CÓDIGO

INDP N°__ Pág. ___/ ___

Inventario de proyectos

Objetivo: Identificar proyectos de seguridad. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


108

Tabla 30- Ficha de proyecto - “Implementar un plan de seguridad”

Proyecto Nº 02: “Implementar plan de seguridad”

Alcance El proyecto de implementación de un plan de seguridad contribuye a mejorar la seguridad en los activos de las EPS.

Objetivo

- Disminuir la difusión de software dañino. - Reducir fuga de información. - Prevenir la perdida de equipos. - Reducir la manipulación de los datos que impacte negativamente en la

gestión del proceso comercial.

Riesgo/Clasificación R23 / R60 / R70 / R89 / R149 / R162 / R164 / R165 / R166 / R167 / R168 / R172.

Estimación de Tiempos 6 meses.

Requerimientos

1. Formar un comité de gestión de seguridad. 2. Obtener el compromiso de alta dirección. 3. Identificar la lista de activos de la entidad. 4. Evaluar los riesgos que podría tener cada activo de la entidad. 5. Definir la priorización de los riesgos de los activos. 6. Establecer medidas de protección de los activos en base a los riesgos

identificados.

PROYECTO

Cotización Cumplimiento (%) Presupuesto (S/) Selección Propuesta Organismo supervisor de las contrataciones del estado -

OSCE 100% S/ 126,496.00 SI

Ver Anexo 07

Unidad Responsable Oficina de Informática.

Activos afectados - Impresoras. - Estación de Trabajo. - Servidor de base de datos. -

Servidor DHCP. - SICAP.

Fuente: Propia

LOGO


FIPR N°__ Pág. ___/ ___

Ficha de proyecto

Objetivo: Realizar el llenado de la ficha del proyecto. TIPO

Actores

Elaborado

Por:

Fecha Elaboración

___/___/_____

Revisado Por:

Aprobado Por:


109

Actividad 2: Determinación del Plan de Ejecución

Su principal objetivo, es ordenar temporalmente los programas de seguridad.

1. Descripción:

Esta actividad busca ordenar los proyectos de seguridad inventariados en el

punto anterior, para esto toma en cuenta factores como:

a. Criticidad o gravedad del impacto de los riesgos que se afrontan, siendo las

situaciones críticas las de mayor prioridad.

b. Costo: el costo de ejecución de programa, así como la disponibilidad del

recurso humanos para la dirección o ejecución (según se determine) de las

tareas programadas

c. Otros factores: como el presupuesto anual de la empresa, la evolución del

marco legal, reglamentario o contractual, etc.

2. Herramientas:

a. Cronograma de ejecución (Plan Director 1)

3. Responsable:

a. Equipo analista.


a. Inventario de proyectos.


a. Cronograma de ejecución de proyectos de seguridad.

6. Procedimiento:

a. Evaluar el inventario de proyectos de seguridad (Tabla 29).

b. Planificar la ejecución de los proyectos de seguridad priorizando de acuerdo

a la criticidad, costo, presupuesto u otros.

c. Llenar la tabla 31 - Cronograma del plan de ejecución.

110

Tabla 31- Formato de cronograma

Fuente: Propia


LOGO


CDPE N°__ Pág. ___/ ___

Cronograma del plan de ejecución

Objetivo: Realizar el llenado de la ficha del proyecto. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


111

Fase N° o7: Monitorización y revisión

Esta fase tiene como objetivo evaluar periódicamente los cambios que

pueden surgir al gestionar los riesgos, debido a que pueden darse cambios en los

procesos, nuevas estrategias, modificación en los activos, entre otros.

Esta fase es importante para asegurar el cumplimiento de los objetivos

estratégicos que se apoyan en la tecnología de información.

Proceso 1: Definición de lista de control

1. Descripción:

Para evaluar los proyectos que darán tratamiento a los riesgos identificados, es

necesario determinar el listado de indicadores en base a los cuales se efectuará

la evaluación en mención, para este fin, en este proceso se elaborará el listado

de indicadores por cada proyecto incluido en el plan de ejecución.

2. Herramientas:

a. Cuadro de control de indicadores por proyecto.

3. Responsable:

a. Equipo analista.


a. Cronograma de ejecución de proyecto.


a. Listado de indicadores por proyecto

112

6. Procedimiento:

a. Evaluar la tabla 31, cronograma del plan de ejecución de proyectos de

seguridad.

b. Determinar los indicadores a evaluar por cada uno de los proyectos

incluidos en el plan de ejecución.

c. Proceder a llenar la información en la tabla 32, lista de indicadores de

control de indicadores a evaluar por proyecto.

113


LIEP N° ___ Pág. ___/ ___

Lista de control de indicadores a evaluar por proyecto

Objetivo: Determinar el listado de indicadores a evaluar por proyecto. TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


Tabla 32: Lista de control de indicadores a evaluar por proyecto

Proyecto Riesgos Tratados Indicadores a Evaluar Periodicidad de

Evaluación Fecha de Control

Capacitación de uso de equipos R21 Número de incidentes en falla de equipos por error humano Mensual

Capacitación de uso y configuración de servidores

R125 Cantidad de Incidentes por falla de configuración de servidores Tiempo Promedio de Servicio Web fuera de línea Mensual

Capacitación en ingeniería social R106 Cantidad de incidentes de acceso no autorizado Cantidad de ataques externos detectados Mensual

Proyecto N Riesgos Tratados N Indicadores a Evaluar N Periodicidad de Evaluación N

Fecha de Control N

Fecha de Control N

Fecha de Control N

Fecha de Control N

Fecha de Control N

Proyecto N+1 Riesgos Tratados N+1 Indicadores a Evaluar N+1 Periodicidad de Evaluación N+1

Fecha de Control N+1





… … … … … … … … …

… … … … … … … … …

Fuente: Propia


114

Proceso 2: Seguimiento de los proyectos

1. Descripción:

Para evaluar periódicamente los cambios que pueden surgir al gestionar los

riesgos, se hará seguimiento a los proyectos implementados y a los riesgos que

están siendo tratados, mediante la implementación del proyecto, para ello en

base a la lista de indicadores y a la frecuencia de evaluación se elabora la

ficha de monitoreo del proyecto.

2. Herramientas:

a. Ficha de monitoreo del proyecto.

3. Responsable:

a. Equipo analista.


a. Cronograma de ejecución de proyecto.

b. Lista de indicadores a evaluar.


a. Ficha de monitoreo del proyecto de ejecución.

6. Procedimiento:

a. Evaluar la tabla 31, cronograma del plan de ejecución de proyectos de

seguridad.

b. Evaluar la tabla 32, lista de indicadores de control de indicadores a evaluar

por proyecto y riesgo, determinando a que proyectos y riesgos les

corresponden un proceso de evaluación ya sea porque se ha cumplido el

plazo establecido para ser evaluado o porque se haya dado algún cambio

en los procesos, nuevas estrategias, modificación en los activos u otros.

c. Proceder a llenar la información en la tabla 33, ficha de monitoreo.

115

Tabla 33- Ficha de monitoreo

RIESGO … colocar código(s) de riesgo

CÓDIGO ACTIVO … colocar código de activo(s) afectados

PROYECTO DE SALVAGUARDA

APLICADO … colocar nombre del proyecto de salvaguarda

ESTADO DEL RIESGO … colocar el estado en el que se encuentra el riesgo al momento del monitoreo (Ej. Mitigado)

MONITOREO Y REVISIÓN

Fecha DD /MM /AAAA N° de Monitoreo/ Fecha Monitoreo Anterior

n DD /MM /AAAA

INDICADORES

1. Listado de indicadores a evaluar.

VALORES DE ENTRADA

(De revisión anterior) 1. VALORES DE SALIDA 1.

RECOMENDACIONES

1. Lista de recomendaciones.

Responsable - Cargo Nombre - Cargo

Fecha de Próxima Revisión

DD /MM /AAAA

Fuente: Propia


LOGO


FDMO N° ___ Pág. ___/ ___

Ficha de monitoreo

Objetivo: Monitorear y revisar periódicamente los cambios que pueden surgir al gestionar los riesgos.

TIPO

Actores

Elaborado


Revisado Por:

Aprobado Por:


116

Discusión

De acuerdo al objetivo general planteado, en la presente tesis de

contribuir a la operación de los procesos de gestión comercial las empresas de

saneamiento del norte del país, se desarrolló un modelo de gestión de riesgos de

TI basado en el estándar ISO 31000 y las metodologías Magerit, OCTAVE y NIST,

adaptado para el mencionado sector.

Para la validación del modelo se diseñó para el mismo dos instrumentos:

Por juicio de expertos, para lo cual 2 profesionales expertos validaron la

estructura y contenido del modelo propuesto en la presente tesis, obteniendo la

aceptación del mismo (ver Anexo N° 03).

Para medir el nivel de confiabilidad del modelo, se procesó los resultados

del juicio de expertos, aplicando el Método de Alfa de Crombach, obteniendo un

nivel de confiabilidad del 90.9% como lo refiere los resultados del cálculo

siguiente:

Tabla 34 - Estadística de confiabilidad

Fuente: Propia

Teniendo como referencia al criterio de George y Mallery (2003, p. 231) sugieren

las recomendaciones siguientes para evaluar los coeficientes de alfa de Cronbach:

- Coeficiente alfa >0.9 es excelente.

Estadísticas de confiabilidad Alfa de Cronbach N de elementos

0.909 7

117

- Coeficiente alfa >0.8 es bueno.

- Coeficiente alfa >0.7 es aceptable.

- Coeficiente alfa >.6 es cuestionable

- Coeficiente alfa >.5 es pobre.

- Coeficiente alfa <.5 es inaceptable.

La medida obtenida del coeficiente de confiabilidad es: excelente.

Prueba de concordancia de Kendall, para la validación de contenidos:

Para determinar el grado de acuerdo en la validez de los contenidos entre

un grupo de expertos (m=3) y el número de ítems (7).

No basta con saber si W está más cercano a 0 o 1; sino que además

debemos saber si W es distinta de 0 para rechazar la hipótesis de concordancia

casual.

Tabla 35 – Estadística de confiabilidad de Kendall.

Calculo de coeficiente de Kendall

n 7

m 3

W 0.04

chi-cuadrado 0.71

gl (grados de libertad) 6

118

Calculo de coeficiente de Kendall

Valor de p 0.994

Fuente: Coeficiente de Kendall

Si el valor es de 1, significa un fuerte nivel de concordancia entre los

evaluadores mientras que el valor de 0 muestra un nivel de desacuerdo total. La

tendencia a 1 es lo deseado pudiéndose realizar nuevas rondas si en la primera no

es alcanzada significación en la concordancia. Tomando en consideración lo

mencionado, el modelo propuesto en el presente trabajo de investigación, obtuvo

un valor de concordancia de 0.994 indicado que existe una alto nivel de

concordancia entre los evaluadores.

Finalmente, de la combinación de los resultados de los dos métodos

aplicados para la evaluación, se puede indicar existe una alto nivel de

concordancia entre los 03 evaluadores y por el valor obtenido con la aplicación

del método de Alfa de Cronbanch, el modelo alcanza un nivel de excelente.

Luego de la validación del modelo se procede a contrastar la hipótesis

analizando los siguientes indicadores:

Indicador 1: Porcentaje de activos críticos de tecnología de información y niveles

de impacto definidos dentro de la gestión de los procesos comerciales de las

empresas de saneamiento.

Al evaluar la situación problemática que motivó el desarrollo de la presente

investigación, se determinó que las empresas de saneamiento, carecían de un

inventario de activos críticos de tecnología de información relacionados a la

119

operación de los procesos de gestión comercial, y estos no tenían definido niveles

de impacto en la operación de los procesos.

La ejecución del modelo propuesto en la presente tesis, aplicado al caso de

estudio de la empresa de saneamiento de Lambayeque, bajo un enfoque de

simplicidad y flexibilidad, mostró como resultado ( Tabla N°11 ) la identificación

de 18 activos críticos que de acuerdo a su clasificación se agruparon en 03 activos

de hardware, 05 de servicios de información, 04 software y 06 de soporte de

información 6, lográndose identificar la dependencia que existe entre ellos así

como los requerimientos de confidencialidad, disponibilidad e integridad y las

estrategias actuales con las de protección con las que cuenta cada uno de estos

activos.

Indicador 2: Número de riesgos detectados por activo

Como resultado de la evaluación de la situación actual de gestión de riesgos

en la empresas del sector saneamiento situadas en el norte del Perú los miembros

de los grupos de interés involucrados, manifiestan tener información de la

existencia de estándares y metodologías de gestión de riesgos de TI, sin embargo

resultan alta complejidad y requieren asignar personal exclusivo para su

aplicación y monitoreo.

Para medir el indicador de número de riesgos detectados por activo crítico,

se implementó para el caso de estudio el modelo propuesto debidamente

validado por juicio de expertos (ver Anexo N°03) lográndose la identificación de

165 riesgos de los cuales, a través de la aplicación de 06 plantillas de trabajo, se

logró determinar que 52 eran de tratamiento prioritario por ser calificados como

extremos y los cuales afectan a la operación de los procesos gestión comercial

soportados por TI.

120

Indicador 3: Cantidad de proyectos propuestos para el tratamiento de los riesgos

En la evaluación de la situación problemática del contexto actual de gestión

de riesgos en la empresas del sector saneamiento situadas en el norte del Perú los

miembros de los grupos de interés involucrados, se determinó que para enfrentar

alguna amenaza, se adoptaban respuestas de carácter reactivo que generaban

altos costos de corrección y no se contaban con proyectos organizados que hayan

sido propuestos y presupuestados con anticipación.

La ejecución del modelo propuesto en la presente tesis, aplicado al caso de

estudio de la empresa de saneamiento de Lambayeque, mostró como resultado

(Tabla N° 57) la identificación de 165 riesgos, de los cuales 52 fueron considerados

de alta prioridad, por exceder los límites de tolerancia planteados por la empresa,

que serían mitigados a través de la ejecución de 16 proyectos en el proceso de

tratamiento de los mismos.

121

CAPÍTULO IV: Aplicación del modelo de gestión de riesgos de TI al caso de estudio

A continuación se presentará el desarrollo de la aplicación del modelo de

gestión de riesgos de TI en la empresa prestadora de servicios de saneamiento de

Lambayeque EPSEL S.A., y se adjuntan en el anexo N° 06, los documentos que

confirman la veracidad y conformidad de los datos considerados en la aplicación

del modelo.

LOGO

Fase: 01 Proceso: 01 Actividad: -- CÓDIGO

DECIN° ___ Pág. __ /____


Objetivo: Identificar los parámetros de fuente y detalle en cada criterio del contexto interno.

TIPO TABLA

Actores Gerencia Comercial Equipo de Análisis

Elaborado Por: LMOSCOSO Fecha Elaboración

09/10/2017

Revisado Por: JSEGURA Aprobado Por: JSEGURA Fecha Aplicación

02/11/2018

122

Tabla 36 -Cuadro de definición del contexto interno

Criterio Fuente Detalle

Cultural SUNASS

La Superintendencia Nacional de Servicios de Saneamiento tiene por finalidad garantizar a los usuarios la prestación de los servicios de saneamiento en las mejores condiciones de calidad, contribuyendo a la salud de la población y al mejoramiento del medio ambiente.

Normativo

Reglamento de prestación de

servicios de agua potable y

alcantarillado de la entidad prestadora

de servicios de saneamiento de

Lambayeque sociedad anónima

EPSEL S.A.

Ley Orgánica de Municipalidades, Ley N° 27972.

Ley de la Actividad Empresarial del Estado, Ley N° 24948.

Ley General de sociedades, Ley N°26887. Ley General del Sistema Nacional de

Presupuesto, Ley 28411. Plan Nacional de Saneamiento 2006 –

2015, D.S. N° 007 – 2006 – vivienda. Ley de Creación de la Superintendencia

Nacional de Servicios de Saneamiento, Decreto Ley Nº 25965.

Ley General del Ambiente, Ley N° 28611. Ley General de Servicios de

Saneamiento, Ley Nº 26338 y su Reglamento.

Estatutos de la empresa, reglamento aprobado por D.S N° 09-95-PRES vigente, se cambia la denominación de EMAPAL por el de EPSEL S.A integrando a las municipalidades distritales.

Partes Internas Involucradas

Personal administrativo

Medición. Facturación. Recaudación.

LOGO


DECIN° ___ Pág. __ /____



TIPO TABLA



09/10/2017


02/11/2018

123

Criterio Fuente Detalle Atención al Cliente. Catastro y Conexiones. Micro medición.

Recursos

Servicios de Información

Proceso de medición. Proceso de facturación. Proceso de cobranza. Proceso de atención al cliente. Proceso de catastro y conexiones.

Software

Ofimática. Sistema de gestión comercial. SICAP. Antivirus.

Hardware Impresoras. Equipo de trabajo. Ticketeras.

Soporte de Información

Servidor Web. Servidor DNS. Servidor ISA. Modem. Servidor de base de datos. Switch.

Estructura Organigrama

Órganos de Dirección y Control: Conformado por la Junta de Accionistas, el Directorio, la Gerencia General y el Órgano de Control Institucional.

Órganos Operativos: Conformado por la Gerencia Operacional, Gerencia Comercial y Gerencia de Proyectos y Obras. Estas tres gerencias se encargas de los procesos de negocio de EPSEL S.A.

Órganos de Apoyo: Conformado por la Gerencia de Administración y Finanzas, Oficina de Recursos Humanos, Oficina de

LOGO


DECIN° ___ Pág. __ /____



TIPO TABLA



09/10/2017


02/11/2018

124

Criterio Fuente Detalle Comunicación Social y la Oficina de Informática. Esta gerencia y las 3 oficinas están a cargo de la gestión administrativa y soporte del negocio.

Órganos de Asesoramiento y Asistencia Técnica: Conformado por la Oficina de Asesoría Legal, Oficina de Desarrollo Empresarial y Oficina de Coordinación de Plan Maestro Optimizado.

Metas y

Objetivos Plan estratégico

Misión: Contribuir a mejorar la calidad de vida de la población de Lambayeque, brindando servicios de saneamiento eficientes y de calidad que ayuden a preservar el medio ambiente obteniendo niveles de rentabilidad que permitan su desarrollo empresarial y de su personal.

Visión: Ser una organización eficiente, rentable, sólida, entre las más importantes del sector, con recursos humanos altamente capacitados que trabajen en equipo, actuando con permanente esfuerzo para lograr un crecimiento sostenible y brindar servicios de calidad orientados a la satisfacción del cliente.

Objetivo estratégicos: o Suministrar y mejorar y ampliar la

cobertura de los servicios de agua potable y alcantarillado.

o Gestionar la calidad de los servicios de agua potable y alcantarillado.

o Lograr óptimos resultados económicos y financieros.

LOGO


DECIN° ___ Pág. __ /____



TIPO TABLA



09/10/2017


02/11/2018

125

Criterio Fuente Detalle o Lograr una óptima gestión

empresarial. o Fortalecer las competencias del

talento humano.

Valores Plan estratégico

Trabajo en Equipo: Unamos capacidades para alcanzar nuestros objetivos.

Honestidad: Seamos honestos con nosotros mismos y con los demás.

Protección del Medio Ambiente: Respeto a las leyes sobre salud pública y protección del Medio Ambiente.

Servicio de Calidad a los Clientes: Porque sabemos que desean nuestros clientes, trabajamos para ellos.

Responsabilidad: Asumamos los retos diarios y preparémonos para el futuro.

Respeto por la persona y dignidad humana: Es nuestro compromiso social y responsabilidad de la Empresa.

Fuente: Propia


LOGO


DECE N°__ Pág. __ /____

Definición del contexto externo

Objetivo: Identificar los parámetros de fuente y detalle en cada criterio del contexto externo.

TIPO TABLA

Actores

Gerencia Comercial Of. Comunicación Social Equipo de análisis


09/10/2017


02/11/2017

126

Tabla 37– Cuadro de definición del contexto externo

Criterio Fuente Sugerida Detalle

Ambiente del Negocio

Convenios Convenio de operaciones reciprocas con las entidades del estado.

Normativo y Político

Portal de Transparencia de

Epsel

Ley Orgánica de Municipalidades, Ley N° 27972. Ley de la Actividad Empresarial del Estado, Ley N°

24948. Ley General de sociedades, Ley N°26887. Ley General del Sistema Nacional de Presupuesto, Ley

28411. Plan Nacional de Saneamiento 2006 – 2015, D.S. N° 007

– 2006 – vivienda. Ley de Creación de la Superintendencia Nacional de

Servicios de Saneamiento, Decreto Ley Nº 25965. Ley General del Ambiente, Ley N° 28611. Ley General de Servicios de Saneamiento Ley Nº 26338

y su Reglamento. Estatutos de la empresa, reglamento aprobado por D.S

N° 09-95-PRES vigente, se cambia la denominación de EMAPAL por el de EPSEL S.A integrando a las municipalidades distritales.

Portal Institucional de SUNASS

Resolución Directiva N º 064. Resolución Directiva Nº 011.

Financiero

Entidades financieras

Gobierno francés. Banco Continental. BCP. Interbank. Banco de la Nación.

Fuente: Propia


LOGO

Fase: 02 Proceso: 01 Actividad: 01 CÓDIGO IDAC AD

N°__ Pág. __ /____

Identificación de activos críticos de la alta dirección

Objetivo: Definir qué activos son críticos para la organización, que de verse afectados se produzca un impacto negativo en la operación de los procesos de gestión comercial, desde el punto de vista de la alta dirección.

TIPO TABLA

Actores Gerencia comercial Equipo de análisis

Elaborado Por: MSOTO Fecha Elaboración

09/10/2017


06/11/2017

127

Tabla 38– Cuadro de identificación de activos críticos de la alta dirección


N°1



Proceso de toma y registro de lecturas, cálculo de consumo de conexiones que usan medidor y crítica de lecturas de acuerdo a la normatividad vigente.




S_PC Servicios de Información

Proceso de Cobranza

Proceso que contempla los subprocesos de recaudación y acciones de cobranza (cortes y rehabilitaciones).

S_PAT Servicios de Información

Proceso de Atención al Cliente

Proceso de atención al cliente que contempla acciones de atención de reclamos, servicios colaterales y consultas.

S_CC Servicios de Información

Proceso de Catastro y Conexiones

Proceso de registro y actualización de datos de ubicación y características de la conexión.






Fuente: Propia

LOGO

Fase: 02 Proceso: 01 Actividad: 02 CÓDIGO IAAC AD

N°___ Pág. __ /____

Identificación de amenaza por activo crítico de la alta dirección

Objetivo: Determinar que situaciones pueden amenazar los activos críticos desde el punto de vista de la alta dirección.

TIPO TABLA



10/10/2017


08/11/2017

128

Tabla 39- Cuadro de identificación amenaza por activo de la alta dirección

Proceso Código Activo Crítico Situación de Amenaza

N°1

S_PM Proceso de Medición Tiempo insuficiente para ejecutar el proceso (Alta rotación de personal, Carencia de mano de obra operativa capacitada, Lentitud en el procesamiento de la información en el sistema comercial). Manipulación de la información.

S_PF Proceso de Facturación Modificaciones de la normativa vigente. Restricción de tiempo de servicio y presión. Agua no facturada.

S_PC Proceso de Cobranza Actos mal intencionados por parte del personal. Informalidad de pago.

S_PAT Proceso de Atención al Cliente Altos niveles de llegada de clientes en fechas específicas. Brindar información errada (afecta a la imagen institucional). Escape de información. Manipulación de la información.

S_CC Proceso de Catastro y Conexiones Conexiones clandestinas. Manipulación de la información. Alteración de la información.

SW_SGC Sistema de Gestión Comercial Abuso de privilegio de acceso. Inconsistencia de registro de información.

SI_SBD Servidor de Base de Datos Modificación de la información. Caída del servicio por agotamiento de recurso.

Fuente: Propia


LOGO

Fase: 02 Proceso: 01 Actividad: 03 CÓDIGO DRSA AD

N°___ Pág. __ /____


Objetivo: Definir los requerimientos de seguridad de los activos críticos en base a los criterios de continuidad, integridad y disponibilidad de la información desde el punto de vista de la alta dirección.

TIPO

TABLA



10/10/2017


08/11/2017

129

Tabla 40-Cuadro de requisito de seguridad por activo crítico de la alta dirección

Activo

Crítico


S_PM La información de la

evolución de los

consumos solo debe estar

a disposición del personal

autorizado.

La determinación de los

consumos facturados debe

guardar coherencia y

ajustarse a la normatividad

vigente.

La información de

evolución de

consumos debe estar a

disposición para la

toma de decisiones.

15% de

la

jornada

laboral

35% de la

jornada

laboral

S_PF La información

relacionada a la

evolución de los montos

facturados y su

distribución tarifaria y

geográfica solo debe ser

accesada por el personal

que toma de decisiones

en relación a este

proceso.

La información relacionada

al proceso de facturación

debe ser coherente mes a

mes para poder tomar las

decisiones pertinentes.

La información

requerida y generada

en este proceso debe

estar siempre a

disposición de las

gerencias y personal

que toma decisiones.

1% de la

jornada

laboral

10% de la

jornada

laboral

S_PC La información de gestión

relacionada a la cobranza

y saldos pendientes de

pago solo debe ser

accedida por el personal

encargado de la toma de

decisiones.

La emisión e interpretación

de la información generada

en la operación de este

proceso debe ser coherente

y estar de acuerdo a las

normas y directivas de la

empresa.

La información

requerida y generada

en este proceso debe

estar siempre a

disposición de las

gerencias y personal

que toma decisiones.

10% de

la

jornada

laboral

25% de la

jornada

laboral

LOGO

Fase: 02 Proceso: 01 Actividad: 03 CÓDIGO DRSA AD

N°___ Pág. __ /____


Objetivo: Definir los requerimientos de seguridad de los activos críticos en base a los criterios de continuidad, integridad y disponibilidad de la información desde el punto de vista de la alta dirección.

TIPO

TABLA



10/10/2017


08/11/2017

130

Activo

Crítico


S_PAT La información de gestión

generada durante este

proceso debe ser

accesada solo por las

partes interesadas,

evitando la fuga de

información a personal

no autorizado.

Es importante la

consistencia de la

información generada

durante el proceso de

atención al cliente, ya que

en base a esta se generan las

estrategias de acción

respecto a la problemática

del área o a los indicadores

de incremento de conexión

o cantidad de reclamos.

Cumplir con la

ejecución de los

procesos de acuerdo a

las normativas y

directivas vigentes,

contando la

disposición de la

información cuando

sea necesaria para la

toma de decisiones

pertinente.

25% de

la

jornada

laboral

50% de la

jornada

laboral

S_CC La información de gestión

relacionada a las

características de la

conexión, tarifas, tipos de

servicio, debe estar a

disposición del personal

autorizado.

Es importarte que la

información gestionada en

los procesos de catastro y

conexiones guarde

coherencia y se ajuste a la

realidad en campo, por lo

cual debe estar

constantemente

supervisada.

La información de

gestión procesada por

catastro y conexiones

debe estar disponible

para la toma de

decisiones.

25% de

la

jornada

laboral

50% de la

jornada

laboral

Fuente: Propia


LOGO

Fase: 02 Proceso: 01 Actividad: 04 CÓDIGO IEOA AD N°____

Pág. __ /____ Identificación de estrategias de protección y vulnerabilidades

organizacionales por activo crítico de la alta dirección

Objetivo: Identificar cuáles son las estrategias de protección actuales desde el punto de alta dirección.

TIPO TABLA

Actores Gerencia Comercial Equipo de análisis


10/10/2017


08/11/2017

131

Tabla 41- Cuadro de estrategias de protección y vulnerabilidades organizacionales por activo de la alta dirección

Código Activo

Activo Estrategias Actuales de protección



S_PC Proceso de Cobranza

Supervisión de acciones de corte y rehabilitación programadas.

S_PAT Proceso de Atención al Cliente Ninguna.

S_CC Proceso de Catastro y Conexiones Ninguna.

Fuente: Propia


LOGO

Fase: 02 Proceso: 02 Actividad: 01 CÓDIGO IDAC GO

N° ___ Pág. __ /____

Identificación de activos críticos en el área de gestión operativa

Objetivo: Definir qué activos son críticos para la organización, que de verse afectados se produzca un impacto negativo en la operación de los procesos de gestión comercial, desde el punto de vista de los gestores operativos comerciales.

TIPO TABLA



11/10/2017


09/11/2017

132

Tabla 42- Cuadro de identificación de activos importantes en el área de gestión operativa


N°2








Proceso de Cobranza

Proceso que contempla los subprocesos de recaudación y acciones de cobranza (cortes y rehabilitaciones).




S_CC Servicios de Proceso de Proceso de registro y

LOGO

Fase: 02 Proceso: 02 Actividad: 01 CÓDIGO IDAC GO

N° ___ Pág. __ /____

Identificación de activos críticos en el área de gestión operativa

Objetivo: Definir qué activos son críticos para la organización, que de verse afectados se produzca un impacto negativo en la operación de los procesos de gestión comercial, desde el punto de vista de los gestores operativos comerciales.

TIPO TABLA



11/10/2017


09/11/2017

133


Información Catastro y Conexiones

actualización de datos de ubicación y características de la conexión.

SW_SGC Software Sistema de Gestión Comercial.




Servidor que contiene el programa que gestiona la base de datos que almacena toda la información comercial

Fuente: Propia


LOGO

Fase: 02 Proceso: 02 Actividad: 03 CÓDIGO IAAC GO

N°___ Pág. __ /____

Identificación de amenazas por activo crítico por la gestión operativa

Objetivo: Determinar que situaciones pueden amenazar a los activos críticos desde de punto de vista de los gestores operativos.

TIPO TABLA



11/10/2017


09/11/2017

134

Tabla 43- Cuadro de identificación amenaza por activo en el área de gestión operativa


N°1

S_PM Proceso de Medición Tiempo insuficiente para ejecutar el proceso. Error de toma de lectura en campo. Errores en la aplicación de la normatividad vigente. Constantes fallas eléctricas. Pérdida de comunicación con la sede central. Caída del servicio de internet. Manipulación de la información.

S_PF Proceso de Facturación

Modificaciones de la normativa vigente. Restricción de tiempo de servicio y presión. Fallas eléctricas. Errores de distribución (Carencia de personal capacitado).

S_PC Proceso de Cobranza Actos mal intencionados por parte del personal. Centros de pago no autorizados. Sobrecarga de clientes por temporadas. Envió de información de cobranza en bancos fuera de tiempo. Fallos eléctricos.

S_PAT Proceso de Atención al Cliente

Altos niveles de llegada de clientes en fechas específicas. Brindar información errada (afecta a la imagen institucional). Escape de información. Manipulación de la información.

S_CC Proceso de Catastro y Conexiones

Suplantación de identidad. Manipulación de la información.

SW_SGC Sistema de Gestión Comercial.

Acceso no autorizado. Errores de configuración. Errores de monitorización. Errores de mantenimiento. Fallas en el proceso de calidad. Indisponibilidad del personal. Suplantación de Identidad. Abuso de privilegio de acceso. Inconsistencia de registro de información.

LOGO


N°___ Pág. __ /____



TIPO TABLA



11/10/2017


09/11/2017

135


Análisis de tráfico. Caída de servicio por agotamiento de recursos.

SI_SBD Servidor de Base de Datos

Modificación de la información. Corrupción de la información. Destrucción de información. Intercepción de información. No contar con la información confiable, integra y disponible.

Fuente: Propia


LOGO


N°___ Pág. __ /____



TIPO TABLA



11/10/2017


09/11/2017

136

Tabla 44- Cuadro de requisito de seguridad por activo crítico en el área de gestión operativa

Activo

Crítico


S_PM La información de los

padrones de lectura solo

sea debe ser accedido

por el personal

autorizado.

El cálculo del consumo

a facturar es la base de

todo el ciclo comercial,

por esto debe estar

acorde a las normas

vigentes y no debe

sufrir alteraciones.

Durante el ciclo de

comercial, la

información relacionada

a consumo y lecturas

debe estar disponible

para las acciones de

seguimiento y control

que correspondan.

15% de la

jornada

laboral

35% de la

jornada

laboral

S_PF Solo el personal

autorizado debe tener

información a los

importes facturados de la

empresa debido a que

esta información es

susceptible a ser utilizada

para fraude.

La información de

entrada a este proceso

(consumos, conexiones,

tarifas) debe ser

consistente.

La información de

facturación debe estar

siempre disponible tanto

para los usuarios

internos como para los

externos.

1% de la

jornada

laboral

10% de la

jornada

laboral

S_PC Evitar la fuga de

información de saldos

porque esta puede ser

mal utilizada.

Es importante que la

información de saldos

pendientes se

coherente y no

presente problemas que

conlleven a la

ejecución de acciones

de cobranza erradas.

La información

relacionada a saldos

pendientes de cobranza

debe estar siempre

disponible para no

detener el flujo de

ingreso de dinero a caja.

10% de la

jornada

laboral

25% de la

jornada

laboral

S_PAT Esta información debe ser

accedida solo por el

personal autorizado de

acuerdo a las funciones

que le competan.

Para gestionar

correctamente la


por este proceso se

debe asegurar que los

datos registrados sean

coherentes con lo

solicitado por el cliente.

El proceso de atención al

cliente está normado por

el ente regulador

SUNASS que exige plazos

de atención cuyo

cumplimiento depende

de que la información

esté disponible de

manera constante.

25% de la

jornada

laboral

50% de la

jornada

laboral

LOGO


N°___ Pág. __ /____



TIPO TABLA



11/10/2017


09/11/2017

137

Activo

Crítico


S_CC Esta información debe ser

accedida solo por el

personal autorizado de

acuerdo a las funciones

que le competan.

Para gestionar

correctamente la


por este proceso se

debe asegurar que los

datos registrados sean

coherentes los que se

cuentan en campo.

La información generada

por este proceso es la

base de todo el ciclo de

gestión comercial por

esta razón es necesario

que la información esté

disponible de manera

constante.

25% de la

jornada

laboral

50% de la

jornada

laboral

SW_SGC La información de

Sistema de gestión de

comercial, solo debe ser

accedida para los perfiles

configurados.

3. Acceso no autorizado

de los usuarios.

El procesamiento de la

información debe ser

veraz por que será

utilizada para otros

procesos.

La información debe

estar disponible, porque

servirá de apoyo para en

los demás procesos de

cobranzas, facturación y

asegurar la continuidad.

1% de la

jornada

laboral

70% de

equipos

instalados

10% de la

jornada

laboral

50% de

equipos

instalados

SI_SBD El acceso al servidor de

base de datos debe ser

por personal autorizado.

La información que se

registrara en la base de

datos debe estar bien

digitada y veraz, para

brindar información

integra.

La disponibilidad del

servidor de base de datos

es importante, para

poder realizar todos los

procesos de la EPS

asegurando la

continuidad del negocio.

1% de la

jornada

laboral

10% de la

jornada

laboral

Fuente: Propia


LOGO


IEOA GO N°___

Pág. __ /____ Estrategias de protección y vulnerabilidades organizacionales por

activo en el área de gestión operativa

Objetivo: Identificar cuáles son las estrategias actuales de protección desde el punto de vista de los gestores operativos.

TIPO

TABLA



11/10/2017


14/11/2017

138

Tabla 45- Cuadro de estrategias de protección y vulnerabilidades organizacionales por activo en el área de gestión operativa

Código de Activo

Activo Estrategias Actuales de protección




Supervisión de acciones de corte y rehabilitación programadas.



SW_SGC

Sistema de Gestión Comercial Tablas de auditoría.

SI_SBD Servidor de Base de Datos Copias de seguridad diaria y semanal.

Fuente: Propia


LOGO

Fase: 02 Proceso: 03 Actividad: 01 CÓDIGO IDAC PE

N°___

Pág. __ /____ Identificación de Activos Críticos del Personal

Objetivo: Identificar los activos críticos desde el punto de vista del personal. TIPO

TABLA



12/10/2017


16/11/2017

139

Tabla 46- Cuadro de identificación de activos críticos del personal


N°3






Proceso de cálculo de montos por los servicios de agua y alcantarillado acuerdo a los consumos registrados en el proceso de medición y a la tarifa establecida para cada conexión, así como otros cargos a facturar (cuotas de convenio, intereses, cortes y rehabilitaciones, etc.)


Proceso de Cobranza

Proceso que contempla los subprocesos de recaudación y acciones de cobranza (cortes y rehabilitaciones)





Proceso de Catastro y Conexiones

Proceso de registro y actualización de datos de ubicación y características de la conexión.

LOGO


N°___



TABLA



12/10/2017


16/11/2017

140




SW_SICAP

Software SICAP Sistema de Captura de Datos para que las EPS ingresen, entre otra información periódica, las variables de gestión.

SW_OFI Software Ofimática Software para procesamiento de textos y hojas de cálculo (Ms Office, StartOffice, OpenOffice).

SW_AV Software Antivirus Software para detectar o eliminar virus informáticos.

HW_IMP Hardware Impresoras Dispositivo periférico para impresión de formatos, reportes, documentos.

HW_PC Hardware Estación de Trabajo

Computadora personal.

HW_LBAR Hardware Ticketeras

Dispositivo periférico para impresión de refrendo de pago.

SI_SWEB Soporte de Información

Servidor Web

Servidor configurado para alojar la página web y los sistemas bajo este formato.

SI_SDNS Soporte de Información

Servidor DNS

Servidor que contiene la configuración del dominio y traduce nombres de dominio a IPs y viceversa.

SI_SISA Soporte de Información

Servidor ISA Servidor que contiene el firewall y la configuración de las políticas de acceso a

LOGO


N°___



TABLA



12/10/2017


16/11/2017

141


internet.

SI_MODEM

Soporte de Información

Modem Dispositivo que recibe el servicio de internet de la empresa a cargo.

SI_SWITCH Soporte de Información

Switch Dispositivo para la conexión de red.




Fuente: Propia


LOGO

Fase: 02 Proceso: 03 Actividad: 02 CÓDIGO IAAC PE

N°___

Pág. __ /____ Identificación de Amenaza por Activos Críticos del Personal

Objetivo: Determinar que situaciones pueden amenazar a los activos críticos desde el punto de vista del personal.

TIPO TABLA



12/10/2017


16/11/2017

142

Tabla 47- Cuadro de identificación amenaza por activo del personal


N°1

S_PM Proceso de Medición

Tiempo insuficiente para ejecutar el proceso (Alta rotación de personal, carencia de mano de obra operativa capacitada, lentitud en el procesamiento de la información en el sistema comercial). Error de toma de lectura en campo. Errores de digitación. Errores en la aplicación de la normatividad vigente. Constantes fallas eléctricas. Pérdida de comunicación con la sede central. Caída del servicio de internet. Manipulación de la información.

S_PF Proceso de Facturación

Modificaciones de la normativa vigente. Restricción de tiempo de servicio y presión Fallas eléctricas. Error al imprimir el recibo generado. Errores de distribución (Carencia de personal capacitado).


Actos mal intencionados por parte del personal. Centros de pago no autorizados. Sobrecarga de clientes por temporadas. Envío de información de cobranza en bancos Fuera de tiempo. Fallos eléctricos. Pago con billetes falsos (equipos insuficientes).

S_PAT Proceso de Atención al Cliente

Altos niveles de llegada de clientes en fechas específicas. Error de digitación. Brindar información errada (afecta a la imagen institucional). Escape de información. Manipulación de la información.

S_CC Proceso de Catastro y Conexiones

Suplantación de identidad. Errores en el registro de la información. Error en la toma de información en campo.

LOGO


N°___



TIPO TABLA



12/10/2017


16/11/2017

143


(Carencia de personal capacitado). Manipulación de la información.

SW_SGC Sistema de Gestión Comercial

Acceso no autorizado. Errores de configuración. Errores de registro. Errores de monitorización. Errores de mantenimiento. Fallas en el proceso de calidad. Indisponibilidad del personal. Suplantación de Identidad. Abuso de privilegio de acceso. Inconsistencia de registro de información. Análisis de tráfico. Caída de servicio por agotamiento de recursos.

SW_SICAP SICAP Sin acceso a código fuente.

SW_OFI Ofimática Software no autorizado.

SW_AV Antivirus Difusión de software dañino.

HW_IMP Impresoras Fluctuaciones de energía. Manipulación del equipo. Falla de equipo. Errores en programas de mantenimiento preventivo. Carencia de insumos.

HW_PC Estación de Trabajo Fluctuaciones de energía. Manipulación del equipo. Falla de equipo. Errores en programas de mantenimiento preventivo.

HW_LBAR Ticketeras Fluctuaciones de energía. Manipulación del equipo. Carencia de insumos.

SI_SWEB Servidor Web Caídas del servicio de la página web.

SI_SDNS Servidor DNS Falta de acceso a algunas páginas.

SI_SISA Servidor ISA Pocas políticas de acceso a las páginas web.

SI_MODEM Modem La constante intermitencia para el acceso en las páginas web.

SI_SWITCH Switch Falla en la transmisión de datos. Los paquetes

LOGO


N°___



TIPO TABLA



12/10/2017


16/11/2017

144


de información lleguen alterados.

SI_SBD Servidor de Base de Datos

Modificación de la información. Corrupción de la información. Destrucción de información. Intercepción de información. No contar con la información confiable, íntegra y disponible. Fallas eléctricas. Errores de configuración.

Fuente: Propia


LOGO

Fase: 02 Proceso: 03 Actividad: 03 CÓDIGO DRSAPE

N°___

Pág. __ /____ Determinación de requisitos de seguridad por activo crítico del

personal

Objetivo: Definir los requerimientos de seguridad de los activos críticos en base a los criterios de continuidad, integridad y disponibilidad de la información desde el punto de vista del personal.

TIPO

TABLA



12/10/2017


20/11/2017

145

Tabla 48- Cuadro de requisito de seguridad por activo crítico del personal

Activo

Crítico


S_PM El registro de

lecturas durante

los procesos de

toma y crítica

deber realizado

solo por personal

autorizado y

supervisado por la

jefatura

correspondiente.

El registro de

lecturas sea por el

proceso de toma

o crítica debe

estar de acorde a

la información

obtenida en

campo y se debe

determinar el

consumo a

facturar

respetando la

normatividad

vigente.

Es importante

tener siempre

disponible esta

información

porque permite la

resolución de

reclamos, y es la

base del proceso

de facturación.

15% de la jornada

laboral

35% de la jornada

laboral

S_PF Se deben manejar

niveles de accesos

a esta

información

desde los diversos

procesos

comerciales, es

importante que

solo el personal

autorizado acceda

a esta.

Generar

información de

facturación exacta

y sin problemas

de consistencia,

permite evitar

reclamos o

errores en los

procesos

subsecuentes. Esta

información es

declarada ante

SUNASS y SUNAT

y algún problema

de consistencia

podría generar

multas

económicas que

afecten a la

empresa.

Los importes

facturados deben

estar disponibles

durante todo el

ciclo comercial ya

que son base de

los procesos de

cobranzas y

atención al

cliente.

1% de la jornada

laboral

10% de la jornada

laboral

LOGO


N°___


personal


TIPO

TABLA



12/10/2017


20/11/2017

146

Activo

Crítico


S_PC Supervisar y

controlar

continuamente el

acceso a la

información de

saldos por cobrar

y pagos, el acceso

no autorizado a

este proceso

puede generar

inconsistencias o

tergiversar el

resultado de la

gestión

empresarial.

Evitar errores de

digitación y

procesamiento de

la información

debido a que

errores de esta

índole afectan

económicamente

a la empresa.

Es importante

tener acceso

continuo a la

información de

saldos para poder

ejecutar los

procesos de

cobranza y

acciones de

cobranza a

usuarios morosos.

10% de la jornada

laboral

25% de la jornada

laboral

S_PAT El acceso a la

información debe

ser controlado y

dado solo al

personal

autorizado o al

cliente que lo

solicite. Es

importante

controlar las fugas

de información y

corroborar el

correcto

procesamiento de

la información.

Es importante

supervisar y

controlar el

correcto registro

de información en

la operación de

este proceso ya de

que de este

depende cómo

nacerá o

actualizará los

datos de la

conexión.

Es necesario que

esta información

esté disponible

para hacer

seguimiento

desde los

diferentes

procesos que la

requieran para

cumplir con los

plazos estipulados

por la

normatividad

vigente y de esta

forma evitar las

diferentes multas

que el

incumplimiento

de esto plazos

acarrean.

25% de la jornada

laboral

50% de la jornada

laboral

LOGO


N°___


personal


TIPO

TABLA



12/10/2017


20/11/2017

147

Activo

Crítico


S_CC La información

generada en este

proceso es

altamente

susceptible a ser

utilizada con fines

ajenos a los

objetivos de la

empresa y el

acceso a ésta debe

ser controlado y

otorgado solo al

personal

autorizado. Es

importante

controlar las fugas

de información y

corroborar el

correcto

procesamiento de

la información.

La información

generada en este

proceso es

altamente

susceptible y el

resto de procesos

dependen de su

correcto

procesamiento,

por tal motivo es

de vital

importancia

controlar la

integridad y

coherencia de

esta.

La información

generada en este

proceso es

indispensable

para los demás

procesos del ciclo

comercial siendo

indispensable que

esté disponible

constantemente

durante todo el

proceso.

25% de la jornada

laboral

50% de la jornada

laboral

SW_SGC Acceso no

autorizado de los

usuarios.

El procesamiento

de la información

debe ser veraz por

que será utilizada

para otros

procesos.

La información

debe estar

disponible,

porque servirá de

apoyo para en los

demás procesos

de cobranzas,

facturación y

asegurar la

continuidad.

1% de la jornada

laboral

70% de equipos

instalados

10% de la jornada

laboral

50% de equipos

instalados

SW_SICAP Acceso no autorizado.

La configuración en el SICAP debe ser correcta, porque puede genera una multa

La disponibilidad de la información del SICAP debe estar disponible, ya que por falta

25% de la jornada

laboral

70% de equipos

instalados

50% de la jornada

laboral

40% de equipos

instalados

LOGO


N°___


personal


TIPO

TABLA



12/10/2017


20/11/2017

148

Activo

Crítico


a la EPS de información podría la EPS tener una multa.

SW_OFI Se controlan la propiedad de los documentos de los usuarios.

Configuración adecuada para asegurar la integridad de la información almacenada

Es necesario la disponibilidad para la gestión informática de documentos, hojas de cálculos

25% de la jornada

laboral

70% de equipos

instalados

50% de la jornada

laboral

40% de equipos

instalados

SW_AV Personal autorizado en la configuración de antivirus.

Configuración adecuada del antivirus para proteger y asegurar la integridad de la información de los sistemas

La disponibilidad del antivirus es importante para no dañar archivos que son esenciales para los demás áreas.

90% de equipos instalados

70% de equipos instalados

HW_IMP Ubicación adecuada.

Configuración adecuada para mostrar la información correcta que envió al imprimir

La disponibilidad de este activo es importante para poder imprimir la información de los recibos facturados enviaran a los clientes.

80% de equipos operativos


HW_PC La configuración de cada estación de trabajo deben estar bien configurados sus accesos de manera que los usuarios puedan acceder a su información de forma segura y evitar fuga de información.

Asegurar la configuración adecuada en las computadoras, y así no presentar interrupciones que perjudiquen al momento de mostrar información que el usuario requiera.

La disponibilidad de la estación de trabajo es importante para poder generar la información requerida en las áreas.



HW_LBAR Acceso de personal no adecuado.

La impresión debe estar la información enviada.

Tiene que estar disponible en los momentos de impresiones de



LOGO


N°___


personal


TIPO

TABLA



12/10/2017


20/11/2017

149

Activo

Crítico


refrendos.

SI_SWEB Solo personal autorizado puede tener acceso al servidor DCHP Ubicación adecuada.

La página web debe mostrarse según como este configurado el servidor web.

Asegurar que la página web de la EPS se encuentre disponible.

3 horas fuera de

línea

8 horas fuera de

línea

SI_SDNS Personal no autorizado.

Las estaciones de trabajo funcionaran de acuerdo a la configuración del servidor DNS.

El servidor de dominios debe estar disponible a través de su configuración adecuada.

1% de la jornada

laboral

10% de la jornada

laboral

SI_SISA Acceso de personal autorizado.

La seguridad página web debe trabajar según como se ha configurado el servidor ISA.

La configuración del ISA server ayudara tener disponible los servicios.

1% de la jornada

laboral

10% de la jornada

laboral

SI_MODEM Ubicación adecuada.

Configuración adecuada para poder comunicarse y mostrar la información correcta.

Configuración adecuada para la disponibilidad de los equipos de procesos core y además asegurar la comunicación con las demás EPS.

1% de la jornada

laboral

10% de la jornada

laboral

SI_SWITCH Acceso de personal autorizado. Distribución y configuración de los puntos de red por el personal autorizado. Ubicación adecuada.

Configuración adecuada para poder comunicarse y mostrar la información correcta.

Configuración adecuada para la disponibilidad de los equipos de procesos core.

1% de la jornada

laboral

10% de la jornada

laboral

SI_SBD El acceso al servidor de base de datos debe ser por personal

La información que se registra en la base de datos debe estar bien

La disponibilidad del servidor de base de datos, es importante, para

1% de la jornada

laboral

10% de la jornada

laboral

LOGO


N°___


personal


TIPO

TABLA



12/10/2017


20/11/2017

150

Activo

Crítico


autorizado. digitada y veraz, para brindar información integra.

poder realizar todos los procesos de la EPS asegurando la continuidad del negocio.

Fuente: Propia


LOGO

Fase: 02 Proceso: 03 Actividad: 04 CÓDIGO IEOA PE

N°___

Pág. __ /____ Identificación de estrategias de protección y vulnerabilidades

organizacionales por activo crítico del personal

Objetivo: Identificar cuáles son las estrategias actuales de protección desde el punto del personal.

TIPO TABLA



14/10/2017


21/11/2017

151

Tabla 49- Cuadro de estrategias de protección y vulnerabilidades organizacionales por activo del personal

Código de Activo Activo Estrategias Actuales de protección



S_PC Proceso de Cobranza Supervisión de acciones de corte y rehabilitación programadas.



SW_SGC Sistema de Gestión Comercial Tablas de auditoría.

SW_SICAP SICAP Ninguna.

SW_OFI Ofimática Ninguna.

SW_AV Antivirus Actualización automática de bases de firmas de antivirus.

HW_IMP Impresoras Mantenimiento preventivo.

HW_PC Estación de Trabajo Mantenimiento preventivo.

HW_LBAR Ticketeras Ninguna.

SI_SWEB Servidor Web Ninguna.

SI_SDNS Servidor DNS Ninguna.

SI_SISA Servidor ISA Ninguna.

SI_MODEM Modem Ninguna.

SI_SWITCH Switch Ninguna.

SI_SBD Servidor de Base de Datos Copias de seguridad diaria y semanal.

Fuente: Propia


LOGO

Fase: 03 Proceso: 01 Actividad: 01 CÓDIGO POAC

N°___

Pág. __ /____ Ponderación de activos críticos


TABLA


Elaborado Por: EPEÑA Fecha Elaboración

15/10/2017


21/11/2017

152

Tabla 50- Cuadro de ponderación de activos

Puntuación

Código Categoría Activo

importante Dirección

Operativa

Personal Gestor

de Riesgo

Promedio



5 5 4 4 4.5



5 5 4 5 4.75


Proceso de Cobranza

5 5 4 5 4.75


Proceso de Atención al

Cliente 3 3 3 4 3.25


Proceso de Catastro y

Conexiones 4 4 3 5 4

SW_SGC Software Sistema de

Gestión Comercial

5 5 5 5 5

SW_SICAP Software SICAP 2 3 1 3 2.25

SW_OFI Software Ofimática 1 2 1 2 1.5

SW_AV Software Antivirus 2 3 3 3 2.75

LOGO

Fase: 03 Proceso: 01 Actividad: 01 CÓDIGO POAC

N°___

Pág. __ /____ Ponderación de activos críticos


TABLA


Elaborado Por: EPEÑA Fecha Elaboración

15/10/2017


21/11/2017

153

Puntuación

Código Categoría Activo

importante Dirección

Operativa

Personal Gestor

de Riesgo

Promedio

HW_IMP Hardware Impresoras 4 5 4 3 4

HW_PC Hardware Estación de

Trabajo 5 5 5 5 5

HW_LBAR Hardware Ticketeras 1 2 2 3 2

SI_SWEB Soporte de Información

Servidor Web 3 3 3 2 2.75

SI_SDNS Soporte de Información

Servidor DNS 2 3 4 2 2.75

SI_SISA Soporte de Información

Servidor ISA 2 3 3 3 2.75

SI_MODEM Soporte de Información

Modem 2 2 3 3 2.5

SI_SWITCH Soporte de Información

Switch 3 3 5 5 4



5 5 5 5 5

Fuente: Propia


LOGO

Fase: 03 Proceso: 01 Actividad: 02 CÓDIGO LCAC

N°___

Pág. __ /____ Lista de clasificación de activos críticos

Objetivo: Clasificar los activos de acuerdo a las categorías establecidas.

TIPO TABLA



15/10/2017


22/11/2017

154

Tabla 51- Cuadro de clasificación de activos


[S] [SW] [HW] [SI]

1 Proceso de Medición [S_PM] X

2 Proceso de Facturación [S_PF] X

3 Proceso de Cobranza [S_PC] X

4 Proceso de Atención al Cliente [S_PAT] X

5 Proceso de Catastro y Conexiones [S_CC] X

6 Sistema de Gestión Comercial [SW_SGC] X

7 SICAP [SW_SICAP] X

8 Ofimática [SW_OFIMATICA] X

9 Antivirus [SW_ANTIVIRUS] X

10 Impresoras [HW_IMP] X

11 Estación de Trabajo [HW_PC] X

12 Ticketeras / Lectoras de código de

barras

[HW_TLCB] X

13 Servidor Web [SI_SWEB] X

14 Servidor DNS [SI_SDNS] X

15 Servidor ISA [SI_ISA] X

LOGO

Fase: 03 Proceso: 01 Actividad: 02 CÓDIGO LCAC

N°___

Pág. __ /____ Lista de clasificación de activos críticos

Objetivo: Clasificar los activos de acuerdo a las categorías establecidas.

TIPO TABLA



15/10/2017


22/11/2017

155


[S] [SW] [HW] [SI]

16 Modem [SI_MODEM] X

17 Switch [SI_SWITCH] X

18 Servidor de Base de Datos [SI_SBD] X

Fuente: Propia


LOGO

Fase: 03 Proceso: 01 Actividad: 02 CÓDIGO DEAC

N°___

Pág. __ /____ Dependencia de activos

Objetivo: Establecer una relación de dependencia entre los activos críticos identificados. TIPO

DIAGRAMA



15/10/2017


22/11/2017

156

Diagrama 2-Dependencias de activos de EPSEL S.A.


LOGO

Fase: 03 Proceso: 01 Actividad: 03 CÓDIGO VAAC

N°___

Pág. __ /____ Valoración de activos

Objetivo: Valorar los activos críticos identificados en base a los criterios de confidencialidad, integridad y disponibilidad.

TIPO TABLA

Actores Equipo de Análisis Elaborado Por: EPEÑA - MSOTO Fecha Elaboración

15/10/2017


24/11/2017

157

Tabla 52- Cuadro de valoración de activos

ACTIVO CRITERIOS

N°

Ítem

Etiqueta

Categoría Código activo

Descripción

del activo

Valoración

confidencialidad

Valoración

de

Integridad

Valoración de

Disponibilidad TOTAL

1 [S] [S_PM] Proceso de

Medición 5 5 5 15 MA

2 [S] [S_PF] Proceso de

Facturación 5 5 5 15 MA

3 [S] [S_PC] Proceso de

Cobranza 5 5 5 15 MA

4 [S] [S_PAT]

Proceso de

Atención al

Cliente

5 5 4 14 MA

5 [S] [S_CC]

Proceso de

Catastro y

Conexiones

5 5 5 15 MA

6 [SW] [SW_SGC]

Sistema de

Gestión

Comercial

5 5 5 15 MA

7 [SW] [SW_SICAP] SICAP 1 1 1 3 B

8 [SW] [SW_OFIMATICA] Ofimática 1 1 1 3 B

9 [SW] [SW_ANTIVIRUS] Antivirus 2 1 3 6 M

10 [HW] [HW_IMP] Impresoras 3 1 4 8 A

LOGO

Fase: 03 Proceso: 01 Actividad: 03 CÓDIGO VAAC

N°___

Pág. __ /____ Valoración de activos

Objetivo: Valorar los activos críticos identificados en base a los criterios de confidencialidad, integridad y disponibilidad.

TIPO TABLA

Actores Equipo de Análisis Elaborado Por: EPEÑA - MSOTO Fecha Elaboración

15/10/2017


24/11/2017

158

ACTIVO CRITERIOS

N°

Ítem

Etiqueta

Categoría Código activo

Descripción

del activo

Valoración

confidencialidad

Valoración

de

Integridad

Valoración de

Disponibilidad TOTAL

11 [HW] [HW_PC] Estación de

Trabajo 4 3 4 11 MA

12 [HW] [HW_TLCB]

Ticketeras /

Lectoras de

código de

barras

3 1 3 7 A

13 [SI] [SI_SWEB] Servidor Web 1 1 1 3 B

14 [SI] [SI_SDNS] Servidor DNS 2 3 3 8 A

15 [SI] [SI_ISA] Servidor ISA 1 1 1 3 B

16 [SI] [SI_MODEM] Modem 2 1 3 6 M

17 [SI] [SI_SWITCH] Switch 2 1 3 6 M

18 [SI] [SI_SBD] Servidor de

Base de Datos 5 5 5 15 MA

Fuente: Propia


LOGO

Fase: 03 Proceso: 01 Actividad: 04 CÓDIGO DVDA N°___

Pág. __ /____ Determinación del valor de la amenaza


TABLA

Actores Equipo de Análisis Elaborado Por: EPEÑA Fecha Elaboración

15/10/2017


27/11/2017

159

Tabla 53- Cuadro de valoración de la amenaza

N° Amenazas Activos Capacida

d

Motivación Valor

amenaza

1 Fuego

HW_IMP 3 1 3

HW_PC 3 1 3

HW_LBAR 3 1 3

SI_SWEB 3 1 3

SI_SDNS 3 1 3

SI_SISA 3 1 3

SI_MODEM 3 1 3

SI_SWITCH 3 1 3

SI_SBD 3 1 3

2 Daños por agua

HW_IMP 3 1 3

HW_PC 3 1 3

HW_LBAR 3 1 3

LOGO




TABLA


15/10/2017


27/11/2017

160


d

Motivación Valor

amenaza

SI_SWEB 3 1 3

SI_SDNS 3 1 3

SI_SISA 3 1 3

SI_MODEM 3 1 3

SI_SWITCH 3 1 3

SI_SBD 3 1 3

3 Desastres naturales

SW_SGC 1 1 1

HW_IMP 1 1 1

HW_PC 1 1 1

HW_LBAR 1 1 1

SI_SWEB 1 1 1

SI_SDNS 1 1 1

LOGO




TABLA


15/10/2017


27/11/2017

161


d

Motivación Valor

amenaza

SI_SISA 1 1 1

SI_MODEM 1 1 1

SI_SWITCH 1 1 1

SI_SBD 1 1 1

4 Corte de suministro eléctrico

SW_SGC 2 2 3

SW_SICAP 2 2 3

SW_OFI 2 2 3

SW_AV 2 2 3

HW_IMP 2 2 3

HW_PC 2 2 3

HW_LBAR 2 2 3

SI_SWEB 2 2 3

LOGO




TABLA


15/10/2017


27/11/2017

162


d

Motivación Valor

amenaza

SI_SDNS 2 2 3

SI_SISA 2 2 3

SI_MODEM 2 2 3

SI_SWITCH 2 2 3

SI_SBD 2 2 3

5 Condiciones inadecuadas de

temperatura o humedad

HW_IMP 1 1 1

HW_PC 1 1 1

HW_LBAR 1 1 1

SI_SWEB 1 1 1

SI_SDNS 1 1 1

SI_SISA 1 1 1

SI_MODEM 1 1 1

LOGO




TABLA


15/10/2017


27/11/2017

163


d

Motivación Valor

amenaza

SI_SWITCH 1 1 1

SI_SBD 1 1 1

6 Fallo de servicios de

comunicaciones

HW_IMP 2 2 3

HW_PC 2 2 3

HW_LBAR 2 2 3

SI_SWEB 2 2 3

SI_SDNS 2 2 3

SI_SISA 2 2 3

SI_MODEM 2 2 3

SI_SWITCH 2 2 3

SI_SGC 2 2 3

SI_SBD 2 2 3

LOGO




TABLA


15/10/2017


27/11/2017

164


d

Motivación Valor

amenaza

7 Interrupción de otros servicios y

suministros esenciales

HW_IMP 1 2 2

HW_PC 1 2 2

HW_LBAR 1 2 2

SI_SBD 1 2 2

8 Errores de los usuarios

SW_SGC 3 3 5

SW_SICAP 3 1 3

HW_IMP 1 1 1

HW_PC 1 1 1

HW_LBAR 1 1 1

9 Errores de configuración

SW_SGC 3 3 5

SW_SICAP 2 1 2

SW_AV 2 2 3

LOGO




TABLA


15/10/2017


27/11/2017

165


d

Motivación Valor

amenaza

HW_IMP 2 1 2

HW_PC 2 1 2

HW_LBAR 2 1 2

SI_SWEB 3 2 4

SI_SDNS 3 2 4

SI_SISA 3 1 3

SI_MODEM 3 1 3

SI_SWITCH 3 1 3

SI_SBD 3 3 5

10 Fuga de información

SW_SGC 3 3 5

SW_SICAP 1 1 1

HW_IMP 2 1 2

LOGO




TABLA


15/10/2017


27/11/2017

166


d

Motivación Valor

amenaza

HW_PC 2 2 3

SI_SBD 3 3 5

11 Introducción de falsa información

SW_SGC 3 3 5

SW_SICAP 2 1 2

SI_SBD 3 1 3

12 Alteración de la información

SW_SGC 3 3 5

SW_SICAP 2 1 2

SI_SBD 3 3 5

13 Corrupción de la información

SW_SGC 3 3 5

SW_SICAP 2 1 2

SI_SBD 3 1 3

14 Destrucción de la información SW_SGC 3 2 4

LOGO




TABLA


15/10/2017


27/11/2017

167


d

Motivación Valor

amenaza

SW_SICAP 2 1 2

SI_SBD 3 3 5

15 Degradación de los soportes de

almacenamiento de la información

SI_SBD

3 2 4

16 Difusión de software dañino

HW_PC 3 3 5

SI_SWEB 3 1 3

SI_SDNS 3 1 3

SI_SISA 3 1 3

SI_SBD 3 1 3

17 Errores de mantenimiento /

actualización de programas

(software)

SW_SGC

3 2 4

SI_SBD

3 1 3

18 Errores de mantenimiento / HW_IMP 1 1 1

LOGO




TABLA


15/10/2017


27/11/2017

168


d

Motivación Valor

amenaza

actualización de equipos (hardware)

HW_PC 2 2 3

HW_LBAR 1 1 1

SI_SWEB 3 1 3

SI_SDNS 3 1 3

SI_SISA 3 1 3

SI_SBD 3 1 3

19 Caída del sistema por sobrecarga

SW_SGC 3 1 3

SW_SICAP 2 1 2

20 Pérdida de Equipos

HW_IMP 1 3 3

HW_PC 2 3 4

HW_LBAR 1 3 3

SI_SWEB 3 1 3

LOGO




TABLA


15/10/2017


27/11/2017

169


d

Motivación Valor

amenaza

SI_SDNS 3 1 3

SI_SISA 3 1 3

SI_MODEM 3 1 3

SI_SWITCH 3 1 3

SI_SBD 3 1 3

21 Indisponibilidad del personal

SW_SGC 3 1 3

SI_SBD 3 1 3

22 Abuso de privilegios de acceso

SW_SGC

3 3 5

SI_SBD

3 3 5

23 Acceso no autorizado

SW_SGC 3 3 5

SW_SICAP 2 1 2

SI_SBD 3 3 5

LOGO




TABLA


15/10/2017


27/11/2017

170


d

Motivación Valor

amenaza

24 Denegación del servicio

HW_IMP 1 2 2

HW_LBAR 1 2 2

SI_SWEB 3 1 3

SI_SDNS 3 1 3

SI_SISA 3 1 3

SI_MODEM 3 1 3

SI_SWITCH 3 1 3

25 Ingeniería social

SW_SGC 3 3 5

SW_SICAP 2 1 2

Fuente: Propia


LOGO

Fase: 03 Proceso: 01 Actividad: 04 CÓDIGO IDVU

N°___

Pág. __ /____ Identificación de las vulnerabilidades

Objetivo: Identificar las vulnerabilidadesde cada activo para cada situación de amenaza. TIPO

TABLA


15/10/2017


27/11/2017

171

Tabla 54- Cuadro de identificación de las vulnerabilidades

Ítem Código

del Riesgo

Código de Activo


1 R1 HW_IMP Impresoras Fuego Carencia de sistemas de seguridad anti incendios.

2 R2 HW_IMP Impresoras Daños por agua Carencia de un plan de concientización del cuidado de equipos.

3 R3 HW_IMP Impresoras Desastres naturales Infraestructura inadecuada.

4 R4 HW_IMP Impresoras Corte de suministro eléctrico

Carencia de grupos electrógenos.

5 R5 HW_IMP Impresoras

Condiciones inadecuadas de temperatura o humedad

Carencia de infraestructura adecuada.

6 R6 HW_IMP Impresoras Fallo de servicios de comunicaciones

Carencia de políticas de mantenimiento preventivo.


Interrupción de otros servicios y suministros esenciales


8 R8 HW_IMP Impresoras Errores de los usuarios

Carencia de un plan de capacitación.

9 R9 HW_IMP Impresoras Errores de configuración

Ausencia de un plan de configuración de equipos.



LOGO


N°___



TABLA


15/10/2017


27/11/2017

172

Ítem Código

del Riesgo

Código de Activo



Errores de mantenimiento / actualización de equipos (hardware)

Ausencia de un plan de mantenimiento de equipos.

12 R12 HW_IMP Impresoras Pérdida de Equipos Carencia de un plan de seguridad.

13 R13 HW_IMP Impresoras Denegación del servicio

Carencia de un sistema de información de administración de eventos.

14 R14 HW_PC Estación de Trabajo

Fuego Carencia de sistemas de seguridad anti incendios.


Daños por agua Carencia de un plan de concientización del cuidado de equipos.


Desastres naturales Infraestructura inadecuada.


Corte de suministro eléctrico






Fallo de servicios de comunicaciones





LOGO


N°___



TABLA


15/10/2017


27/11/2017

173

Ítem Código

del Riesgo

Código de Activo



Errores de los usuarios






Fuga de información



Difusión de software dañino




Ausencia de Políticas de software mal intencionado.



Deficiencia en el procedimiento de prevención.





Pérdida de Equipos Deficiencia en la actualización del inventario de equipos.


Pérdida de Equipos Carencia de un plan de seguridad.

30 R30 SI_MODEM MODEM Fuego Deficiencia en infraestructura de la sala de servidores.

31 R31 SI_MODEM MODEM Daños por agua Deficiencia en infraestructura de la sala de servidores.

LOGO


N°___



TABLA


15/10/2017


27/11/2017

174

Ítem Código

del Riesgo

Código de Activo


32 R32 SI_MODEM MODEM Desastres naturales Deficiencia en infraestructura de la sala de servidores.

33 R33 SI_MODEM MODEM Corte de suministro eléctrico


34 R34 SI_MODEM MODEM



35 R35 SI_MODEM MODEM Fallo de servicios de comunicaciones



Deficiencia en las políticas para determinar los acuerdos de niveles de servicio.

37 R37 SI_MODEM MODEM Errores de configuración

Ausencia de Plan de Gestión de Configuración.

38 R38 SI_MODEM MODEM Pérdida de Equipos Carencia de un plan de seguridad.

39 R39 SI_MODEM MODEM Denegación del servicio


40 R40 SI_SWITCH SWITCH Fuego Deficiencia en infraestructura de la sala de servidores.

41 R41 SI_SWITCH SWITCH Daños por agua Deficiencia en infraestructura de la sala de servidores.

LOGO


N°___



TABLA


15/10/2017


27/11/2017

175

Ítem Código

del Riesgo

Código de Activo


42 R42 SI_SWITCH SWITCH Desastres naturales Deficiencia en infraestructura de la sala de servidores.

43 R43 SI_SWITCH SWITCH Corte de suministro eléctrico


44 R44 SI_SWITCH SWITCH



45 R45 SI_SWITCH SWITCH Fallo de servicios de comunicaciones


46 R46 SI_SWITCH SWITCH Errores de configuración


47 R47 SI_SWITCH SWITCH Pérdida de Equipos Carencia de un plan de seguridad.

48 R48 SI_SWITCH SWITCH Denegación del servicio



Fuego Deficiencia en infraestructura de la sala de servidores.

50 R50 Servidor de Base de Datos

Fuego Deficiencia en las políticas de copias de seguridad.


Daños por agua Deficiencia en infraestructura de la sala de servidores.

52 R52 SI_SBD Servidor de Base de

Daños por agua Deficiencia en las políticas de copias de seguridad.

LOGO


N°___



TABLA


15/10/2017


27/11/2017

176

Ítem Código

del Riesgo

Código de Activo


Datos


Desastres naturales Deficiencia en infraestructura de la sala de servidores.


Desastres naturales Deficiencia en las políticas de copias de seguridad.















Ausencia de plan de gestión de configuración.



Carencia de un plan de seguridad.



Carencia de políticas de revisión por muestreo.

LOGO


N°___



TABLA


15/10/2017


27/11/2017

177

Ítem Código

del Riesgo

Código de Activo




Carencia de un plan de supervisión.


Alteración de la información



Corrupción de la información




Deficiencia en las políticas de copias de seguridad.


Destrucción de la información






Degradación de los soportes de almacenamiento de la información










Ausencia de políticas de software mal intencionado.

LOGO


N°___



TABLA


15/10/2017


27/11/2017

178

Ítem Código

del Riesgo

Código de Activo



Errores de mantenimiento / actualización de programas (software)

Carencia de documentación.



Carencia de un plan de mantenimiento preventivo.









Carencia de un plan de mantenimiento preventivo





Pérdida de Equipos Carencia de un plan de seguridad.

LOGO


N°___



TABLA


15/10/2017


27/11/2017

179

Ítem Código

del Riesgo

Código de Activo



Indisponibilidad del personal

Dependencia excesiva de personal de la gestión de base de datos.


Abuso de privilegios de acceso

Deficiencia en la política de rotación de personal.



Ausencia de una fuente de información de perfiles de acceso descritos y autorizados.


Acceso no autorizado




Carencia de un plan de auditoría de accesos.

84 R84 SW_SGC Sistema de Gestión Comercial





Carencia de una fuente de conocimiento de incidentes.







LOGO


N°___



TABLA


15/10/2017


27/11/2017

180

Ítem Código

del Riesgo

Código de Activo
































LOGO


N°___



TABLA


15/10/2017


27/11/2017

181

Ítem Código

del Riesgo

Código de Activo












Caída del sistema por sobrecarga




Dependencia excesiva de personal de la gestión de base de datos.







LOGO


N°___



TABLA


15/10/2017


27/11/2017

182

Ítem Código

del Riesgo

Código de Activo






Ingeniería social Carencia de capacitación sobre ingeniería social.

107 R107 HW_LBAR Ticketeras Fuego Carencia de sistemas de seguridad anti incendios.

108 R108 HW_LBAR Ticketeras Daños por agua Carencia de un plan de concientización del cuidado de equipos.

109 R109 HW_LBAR Ticketeras Desastres naturales Infraestructura inadecuada.

110 R110 HW_LBAR Ticketeras Corte de suministro eléctrico

Falta de equipos de respaldo eléctrico.

111 R111 HW_LBAR Ticketeras



112 R112 HW_LBAR Ticketeras Fallo de servicios de comunicaciones




Infraestructura inadecuada.

114 R114 HW_LBAR Ticketeras Errores de los usuarios


LOGO


N°___



TABLA


15/10/2017


27/11/2017

183

Ítem Código

del Riesgo

Código de Activo


115 R115 HW_LBAR Ticketeras Errores de configuración





117 R117 HW_LBAR Ticketeras Pérdida de Equipos Carencia de un plan de seguridad.

118 R118 HW_LBAR Ticketeras Denegación del servicio


119 R119 SI_SWEB Servidor Web Fuego Carencia de sistemas de seguridad anti incendios.

120 R120 SI_SWEB Servidor Web Daños por agua Carencia de un plan de concientización del cuidado de equipos.

121 R121 SI_SWEB Servidor Web Desastres naturales Infraestructura inadecuada.

122 R122 SI_SWEB Servidor Web Corte de suministro eléctrico


123 R123 SI_SWEB Servidor Web



124 R124 SI_SWEB Servidor Web Fallo de servicios de comunicaciones


LOGO


N°___



TABLA


15/10/2017


27/11/2017

184

Ítem Código

del Riesgo

Código de Activo


125 R125 SI_SWEB Servidor Web Errores de los usuarios


126 R126 SI_SWEB Servidor Web Difusión de software dañino





128 R128 SI_SWEB Servidor Web Denegación del servicio


129 R129 SI_SDNS Servidor DNS Fuego Carencia de sistemas de seguridad anti incendios.

130 R130 SI_SDNS Servidor DNS Daños por agua Carencia de un plan de concientización del cuidado de equipos.

131 R131 SI_SDNS Servidor DNS Desastres naturales Infraestructura inadecuada.

132 R132 SI_SDNS Servidor DNS Corte de suministro eléctrico


133 R133 SI_SDNS Servidor DNS



134 R134 SI_SDNS Servidor DNS Fallo de servicios de comunicaciones


135 R135 SI_SDNS Servidor DNS Errores de configuración


LOGO


N°___



TABLA


15/10/2017


27/11/2017

185

Ítem Código

del Riesgo

Código de Activo


136 R136 SI_SDNS Servidor DNS Difusión de software dañino





138 R138 SI_SDNS Servidor DNS Pérdida de Equipos Carencia de un plan de seguridad.

139 R139 SI_SDNS Servidor DNS Denegación del servicio


140 R140 SI_SISA Servidor ISA Fuego Carencia de sistemas de seguridad anti incendios.

141 R141 SI_SISA Servidor ISA Daños por agua Carencia de un plan de concientización del cuidado de equipos.

142 R142 SI_SISA Servidor ISA Desastres naturales Infraestructura inadecuada.

143 R143 SI_SISA Servidor ISA Corte de suministro eléctrico


144 R144 SI_SISA Servidor ISA



145 R145 SI_SISA Servidor ISA Fallo de servicios de comunicaciones


146 R146 SI_SISA Servidor ISA Errores de configuración


LOGO


N°___



TABLA


15/10/2017


27/11/2017

186

Ítem Código

del Riesgo

Código de Activo


147 R147 SI_SISA Servidor ISA Difusión de software dañino





149 R149 SI_SISA Servidor ISA Pérdida de Equipos Carencia de un plan de seguridad.

150 R150 SI_SISA Servidor ISA Denegación del servicio


151 R151 SW_SICAP SICAP Corte de suministro eléctrico


152 R152 SW_SICAP SICAP Errores de los usuarios


153 R153 SW_SICAP SICAP Errores de configuración


154 R154 SW_SICAP SICAP Fuga de información


155 R155 SW_SICAP SICAP Introducción de falsa información

Falta de un plan de seguridad.

156 R156 SW_SICAP SICAP Alteración de la información


157 R157 SW_SICAP SICAP Corrupción de la información


158 R158 SW_SICAP SICAP Destrucción de la información


LOGO


N°___



TABLA


15/10/2017


27/11/2017

187

Ítem Código

del Riesgo

Código de Activo


159 R159 SW_SICAP SICAP Caída del sistema por sobrecarga

Falta de un control de accesos a los recursos.

160 R160 SW_SICAP SICAP Acceso no autorizado

Falta de políticas de control de acceso.


Falta de cuentas de usuarios mal configuradas.

162 R162 SW_SICAP SICAP Ingeniería social Falta de políticas de seguridad.

163 R163 SW_OFI OFIMATICA Corte de suministro eléctrico


164 R164 SW_AV ANTIVIRUS Corte de suministro eléctrico


165 R165 SW_AV ANTIVIRUS Errores de configuración


Fuente: Propia


LOGO

Fase: 03 Proceso: 01 Actividad: 04 CÓDIGO DVVU

N°___

Pág. __ /____ Determinación del valor de la vulnerabilidad

Objetivo: Determinar las vulnerabilidades bajos los criterios de severidad y exposición TIPO

TABLA


15/10/2017


27/11/2017

188

Tabla 55- Cuadro de determinación de la vulnerabilidad


Código de Activo


Vulnerabilidad

1 R1 HW_IMP Impresoras Fuego

Carencia de sistemas de seguridad anti incendios

3 1 3

2 R2 HW_IMP Impresoras Daños por agua

Carencia de un plan de concientización del cuidado de equipos

3 1 3

3 R3 HW_IMP Impresoras Desastres naturales

Infraestructura inadecuada

1 1 1


Carencia de grupos electrógenos

2 1 2



Carencia de infraestructura adecuada

2 1 2


Carencia de políticas de mantenimiento preventivo

3 1 3




2 1 2


Carencia de un plan de capacitación

3 2 4


Ausencia de un plan de configuración de equipos

3 1 3


Ausencia de un plan de seguridad

3 1 3

LOGO


N°___



TABLA


15/10/2017


27/11/2017

189


Código de Activo


Vulnerabilidad



Ausencia de un plan de mantenimiento de equipos

2 1 2

12 R12 HW_IMP Impresoras Pérdida de Equipos

Carencia de un plan de seguridad

3 1 3


Carencia de un sistema de información de administración de eventos

3 1 3


Fuego


3 2 4


Daños por agua


3 2 4


Desastres naturales


1 2 2



Carencia de grupos electrógenos

2 2 3




2 2 3




2 2 3

LOGO


N°___



TABLA


15/10/2017


27/11/2017

190


Código de Activo


Vulnerabilidad




2 2 3




3 2 4




3 2 4




3 2 4




3 2 4



Ausencia de políticas de software mal intencionado

3 2 4



Deficiencia en el procedimiento de prevención

3 2 4




3 2 4


Pérdida de Equipos

Deficiencia en la actualización del inventario de equipos

3 2 4


Pérdida de Equipos


3 2 4

LOGO


N°___



TABLA


15/10/2017


27/11/2017

191


Código de Activo


Vulnerabilidad

30 R30 SI_MODEM MODEM Fuego


3 2 4

31 R31 SI_MODEM MODEM Daños por agua


3 2 4

32 R32 SI_MODEM MODEM Desastres naturales


1 2 2



2 2 3




2 2 3



2 2 3


Deficiencia en las políticas para determinar los acuerdos de niveles de servicio

2 2 3


Ausencia de plan de gestión de configuración

3 2 4

38 R38 SI_MODEM MODEM Pérdida de Equipos


3 2 4



2 2 3

LOGO


N°___



TABLA


15/10/2017


27/11/2017

192


Código de Activo


Vulnerabilidad

40 R40 SI_SWITCH SWITCH Fuego


3 3 5

41 R41 SI_SWITCH SWITCH Daños por agua


3 3 5

42 R42 SI_SWITCH SWITCH Desastres naturales


1 3 3



2 3 4




2 3 4



2 3 4



3 3 5

47 R47 SI_SWITCH SWITCH Pérdida de Equipos


3 3 5



3 3 5


Fuego


2 3 4


Fuego Deficiencia en las políticas de copias de

2 3 4

LOGO


N°___



TABLA


15/10/2017


27/11/2017

193


Código de Activo


Vulnerabilidad

seguridad


Daños por agua


3 3 5


Daños por agua


3 3 5


Desastres naturales


1 3 3


Desastres naturales


1 3 3




2 3 4




2 3 4




2 3 4




1 3 3




2 3 4




2 3 4

LOGO


N°___



TABLA


15/10/2017


27/11/2017

194


Código de Activo


Vulnerabilidad




2 3 4




2 3 4




3 3 5




3 3 5




3 3 5




2 3 4




2 3 4




3 3 5




3 3 5




3 3 5

LOGO


N°___



TABLA


15/10/2017


27/11/2017

195


Código de Activo


Vulnerabilidad




3 3 5



Carencia de documentación

3 3 5




3 3 5




3 3 5




3 3 5




3 3 5




3 3 5


Pérdida de Equipos


1 3 3

LOGO


N°___



TABLA


15/10/2017


27/11/2017

196


Código de Activo


Vulnerabilidad



Dependencia excesiva de personal de la gestión de Base de Datos

2 3 4



Deficiencia en la política de rotación de personal

3 3 5




3 3 5




3 3 5



Carencia de un plan de auditoría de accesos

3 3 5




2 3 4



Carencia de una fuente de conocimiento de incidentes

2 3 4




3 3 5




3 3 5

LOGO


N°___



TABLA


15/10/2017


27/11/2017

197


Código de Activo


Vulnerabilidad




3 3 5




3 3 5




3 3 5




3 3 5




3 3 5




3 3 5




1 3 3




1 3 3




1 3 3




1 3 3

LOGO


N°___



TABLA


15/10/2017


27/11/2017

198


Código de Activo


Vulnerabilidad



Carencia de Documentación

3 3 5




3 3 5




3 3 5




2 3 4




2 3 4




3 3 5



Ausencia de una fuente de información de perfiles de acceso descritos y autorizados

3 3 5

LOGO


N°___



TABLA


15/10/2017


27/11/2017

199


Código de Activo


Vulnerabilidad




3 3 5


Ingeniería social

Carencia de Capacitación sobre Ingeniería Social

3 3 5

107 R107 HW_LBAR Ticketeras Fuego


1 1 1

108 R108 HW_LBAR Ticketeras Daños por agua


1 1 1

109 R109 HW_LBAR Ticketeras Desastres naturales


1 1 1


Falta de equipos de respaldo eléctrico

1 1 1




1 1 1



1 1 1




1 1 1

LOGO


N°___



TABLA


15/10/2017


27/11/2017

200


Código de Activo


Vulnerabilidad



2 2 3



1 2 2




2 2 3

117 R117 HW_LBAR Ticketeras Pérdida de Equipos


2 2 3



2 2 3


Fuego


3 3 5


Daños por agua


3 3 5


Desastres naturales


3 3 5




1 1 1




2 1 2

LOGO


N°___



TABLA


15/10/2017


27/11/2017

201


Código de Activo


Vulnerabilidad




2 2 3




2 2 3




2 2 3




3 3 5


Denegación del servicio


3 3 5


Fuego


3 3 5


Daños por agua


3 3 5


Desastres naturales


3 3 5




1 1 1




2 2 3

LOGO


N°___



TABLA


15/10/2017


27/11/2017

202


Código de Activo


Vulnerabilidad




3 3 5




2 2 3




2 2 3




2 2 3


Pérdida de Equipos


3 3 5




2 3 4


Fuego


3 3 5


Daños por agua


3 3 5


Desastres naturales


3 3 5




1 1 1

LOGO


N°___



TABLA


15/10/2017


27/11/2017

203


Código de Activo


Vulnerabilidad




2 2 3




3 3 5




3 2 4




3 2 4




2 2 3


Pérdida de Equipos


3 3 5




3 3 5



2 1 2



3 3 5



3 2 4



3 3 5

LOGO


N°___



TABLA


15/10/2017


27/11/2017

204


Código de Activo


Vulnerabilidad


Falta de un plan de seguridad

3 3 5



3 3 5



3 3 5



3 3 5


Falta de un control de accesos a los recursos

3 3 5


Falta de políticas de control de acceso

3 3 5


Falta de cuentas de usuarios mal configuradas

3 3 5

162 R162 SW_SICAP SICAP Ingeniería social Falta de políticas de seguridad

3 3 5



1 1 1



2 1 2



2 2 3

Fuente: Propia


LOGO


MDNR N°___ Pág. __ /____


Objetivo: Determinar el nivel del riesgo a través de los valores sensibilidad de activos, análisis de vulnerabilidad y análisis de amenaza. TIPO

TABLA

Actores Equipo de Análisis Elaborado Por: EPEÑA - MSOTO Fecha Elaboración 16/10/2017

Revisado Por: JSEGURA Aprobado Por: JSEGURA Fecha Aplicación 28/11/2017

205

Tabla 56- Cuadro de matriz del nivel de riesgo

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)

Valor Vulnerabilidad

(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

1 R1 HW_IMP Impresoras Fuego Carencia de sistemas de seguridad anti incendios

3 3 2 2 4 36



3 3 2 2 4 36


Infraestructura inadecuada 1 1 1 2 2 2


Carencia de grupos electrógenos. 3 2 1 2 2 12




1 2 1 1 1 2

LOGO


MDNR N°___ Pág. __ /____



TABLA



206

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



3 3 2 2 4 36




2 2 2 2 4 16


Carencia de un plan de capacitación. 1 4 3 2 6 24



2 3 3 2 6 36


Ausencia de un plan de seguridad 2 3 1 1 1 6

LOGO


MDNR N°___ Pág. __ /____



TABLA



207

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




1 2 1 1 1 2


Carencia de un plan de seguridad. 3 3 3 3 9 81



2 3 1 2 2 12

14 R14 HW_PC Estación de Trabajo Fuego Carencia de sistemas de seguridad anti incendios.

3 4 2 4 8 96

15 R15 HW_PC Estación de Trabajo Daños por agua


3 4 2 4 8 96

LOGO


MDNR N°___ Pág. __ /____



TABLA



208

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

16 R16 HW_PC Estación de Trabajo Desastres naturales


17 R17 HW_PC Estación de Trabajo Corte de suministro eléctrico


3 3 2 3 6 54




1 3 1 3 3 9

19 R19 HW_PC Estación de Trabajo Fallo de servicios de comunicaciones


3 3 3 4 12 108




2 3 3 4 12 72

21 R21 HW_PC Estación de Trabajo Errores de los usuarios

Carencia de un plan de capacitación. 1 4 3 5 15 60

LOGO


MDNR N°___ Pág. __ /____



TABLA



209

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

22 R22 HW_PC Estación de Trabajo Errores de configuración


2 4 3 4 12 96

23 R23 HW_PC Estación de Trabajo Fuga de información


24 R24 HW_PC Estación de Trabajo Difusión de software dañino


25 R25 HW_PC Estación de Trabajo Difusión de software dañino


5 4 2 4 8 160



Deficiencia en el procedimiento de prevención

3 4 2 3 6 72

LOGO


MDNR N°___ Pág. __ /____



TABLA



210

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




3 4 2 3 6 72

28 R28 HW_PC Estación de Trabajo Pérdida de Equipos

Deficiencia en la actualización del inventario de equipos

4 4 2 4 8 128

29 R29 HW_PC Estación de Trabajo Pérdida de Equipos


4 4 2 4 8 128

30 R30 SI_MODEM MODEM Fuego Deficiencia en infraestructura de la sala de servidores

3 4 2 5 10 120

31 R31 SI_MODEM MODEM Daños por agua Deficiencia en infraestructura de la sala de servidores

3 4 1 4 4 48

LOGO


MDNR N°___ Pág. __ /____



TABLA



211

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



1 2 2 4 8 16



3 3 1 3 3 27




1 3 1 3 3 9



3 3 2 3 6 54

LOGO


MDNR N°___ Pág. __ /____



TABLA



212

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)


Deficiencia en las políticas para determinar los acuerdos de niveles de servicio

3 3 2 3 6 54



3 4 1 3 3 36



3 4 1 3 3 36



3 3 1 3 3 27

40 R40 SI_SWITCH SWITCH Fuego Deficiencia en infraestructura de la sala de servidores

3 5 2 5 10 150

LOGO


MDNR N°___ Pág. __ /____



TABLA



213

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

41 R41 SI_SWITCH SWITCH Daños por agua Deficiencia en infraestructura de la sala de servidores

3 5 1 5 5 75



1 3 2 4 8 24



3 4 1 4 4 48




1 4 2 5 10 40



3 4 2 4 8 96

LOGO


MDNR N°___ Pág. __ /____



TABLA



214

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



3 5 1 5 5 75


Carencia de un plan de seguridad 3 5 1 3 3 45



3 5 1 5 5 75



3 4 2 5 10 120



3 4 2 5 10 120

LOGO


MDNR N°___ Pág. __ /____



TABLA



215

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)


Daños por agua Deficiencia en infraestructura de la sala de servidores

3 5 2 5 10 150


Daños por agua Deficiencia en las políticas de copias de seguridad

3 5 2 5 10 150


Desastres naturales


1 3 1 5 5 15


Desastres naturales


1 3 1 5 5 15




3 4 2 5 10 120

LOGO


MDNR N°___ Pág. __ /____



TABLA



216

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




1 4 1 5 5 20




3 4 2 5 10 120




2 3 2 5 10 60




5 4 4 5 20 400




5 4 4 5 20 400

LOGO


MDNR N°___ Pág. __ /____



TABLA



217

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




3 4 3 5 15 180



Carencia de un plan de supervisión 3 4 3 5 15 180










3 5 3 5 15 225




LOGO


MDNR N°___ Pág. __ /____



TABLA



218

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




5 4 5 5 25 500







4 5 3 5 15 300




3 5 3 5 15 225




3 5 3 5 15 225

LOGO


MDNR N°___ Pág. __ /____



TABLA



219

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



Carencia de documentación 3 5 2 5 10 150




3 5 2 5 10 150




3 5 2 5 10 150




3 5 2 5 10 150

LOGO


MDNR N°___ Pág. __ /____



TABLA



220

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




3 5 3 5 15 225




3 5 3 5 15 225


Pérdida de Equipos




Dependencia excesiva de personal de la gestión de base de datos

3 4 3 4 12 144




5 5 5 5 25 625

LOGO


MDNR N°___ Pág. __ /____



TABLA



221

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




5 5 5 5 25 625




5 5 3 5 15 375




5 5 3 5 15 375




3 4 2 4 8 96




3 4 3 4 12 144

LOGO


MDNR N°___ Pág. __ /____



TABLA



222

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



Carencia de un plan de capacitación 5 5 5 5 25 625




5 5 5 5 25 625




5 5 4 5 20 500




5 5 4 5 20 500




5 5 4 5 20 500




5 5 4 5 20 500

LOGO


MDNR N°___ Pág. __ /____



TABLA



223

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




5 5 4 5 20 500







5 3 4 5 20 300







4 3 4 5 20 240




LOGO


MDNR N°___ Pág. __ /____



TABLA



224

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



Carencia de documentación 4 5 2 5 10 200




4 5 2 5 10 200




4 5 3 5 15 300




3 4 2 4 8 96

LOGO


MDNR N°___ Pág. __ /____



TABLA



225

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



Dependencia excesiva de personal de la gestión de base de datos

3 4 3 4 12 144




5 5 5 5 25 625




5 5 4 5 20 500




5 5 4 5 20 500

LOGO


MDNR N°___ Pág. __ /____



TABLA



226

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)


Ingeniería social Carencia de Capacitación sobre ingeniería social

5 5 5 5 25 625

107 R107 HW_LBAR Ticketeras Fuego Carencia de sistemas de seguridad anti incendios

3 1 2 1 2 6

108 R108 HW_LBAR Ticketeras Daños por agua


3 1 2 1 2 6

109 R109 HW_LBAR Ticketeras Desastres naturales


1 1 1 1 1 1



3 1 1 1 1 3

LOGO


MDNR N°___ Pág. __ /____



TABLA



227

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




1 1 1 1 1 1



3 1 2 2 4 12






1 3 3 2 6 18



2 2 3 2 6 24

LOGO


MDNR N°___ Pág. __ /____



TABLA



228

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




1 3 1 1 1 3

117 R117 HW_LBAR Ticketeras Pérdida de Equipos




2 3 1 2 2 12

119 R119 SI_SWEB Servidor Web Fuego Carencia de sistemas de seguridad anti incendios

3 5 2 5 10 150

120 R120 SI_SWEB Servidor Web Daños por agua


3 5 2 5 10 150

LOGO


MDNR N°___ Pág. __ /____



TABLA



229

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

121 R121 SI_SWEB Servidor Web Desastres naturales


122 R122 SI_SWEB Servidor Web Corte de suministro eléctrico


3 1 2 5 10 30




1 2 2 5 10 20

124 R124 SI_SWEB Servidor Web Fallo de servicios de comunicaciones


3 3 3 4 12 108

125 R125 SI_SWEB Servidor Web Errores de los usuarios


126 R126 SI_SWEB Servidor Web Difusión de software dañino


3 3 1 5 5 45

LOGO


MDNR N°___ Pág. __ /____



TABLA



230

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




3 5 3 5 15 225

128 R128 SI_SWEB Servidor Web Denegación del servicio


3 5 1 5 5 75

129 R129 SI_SDNS Servidor DNS Fuego Carencia de sistemas de seguridad anti incendios

3 5 2 5 10 150

130 R130 SI_SDNS Servidor DNS Daños por agua


3 5 2 5 10 150

131 R131 SI_SDNS Servidor DNS Desastres naturales


LOGO


MDNR N°___ Pág. __ /____



TABLA



231

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

132 R132 SI_SDNS Servidor DNS Corte de suministro eléctrico

Falta de equipos de respaldo eléctrico 3 1 2 5 10 30




1 3 2 5 10 30

134 R134 SI_SDNS Servidor DNS Fallo de servicios de comunicaciones


3 5 3 4 12 180

135 R135 SI_SDNS Servidor DNS Errores de configuración


136 R136 SI_SDNS Servidor DNS Difusión de software dañino





3 3 3 5 15 135

LOGO


MDNR N°___ Pág. __ /____



TABLA



232

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)

138 R138 SI_SDNS Servidor DNS Pérdida de Equipos


139 R139 SI_SDNS Servidor DNS Denegación del servicio


3 4 1 5 5 60

140 R140 SI_SISA Servidor ISA Fuego Carencia de sistemas de seguridad anti incendios

3 5 2 5 10 150

141 R141 SI_SISA Servidor ISA Daños por agua


3 5 2 5 10 150

142 R142 SI_SISA Servidor ISA Desastres naturales


1 5 1 5 5 25



LOGO


MDNR N°___ Pág. __ /____



TABLA



233

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)




1 3 2 5 10 30



3 5 3 4 12 180








3 3 3 5 15 135

149 R149 SI_SISA Servidor ISA Pérdida de Equipos


LOGO


MDNR N°___ Pág. __ /____



TABLA



234

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



3 5 1 5 5 75







2 4 1 5 5 40




Falta de un plan de seguridad 2 5 4 5 20 200



LOGO


MDNR N°___ Pág. __ /____



TABLA



235

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)





2 5 4 5 20 200



2 5 2 4 8 80



2 5 4 5 20 200



2 5 4 5 20 200

162 R162 SW_SICAP SICAP Ingeniería social Falta de políticas de seguridad 2 5 5 5 25 250





LOGO


MDNR N°___ Pág. __ /____



TABLA



236

Ítem Código del

Riesgo Código de


Valor Amenaza

(1)


(2)

Posibilidad (3)

Impacto (4)

Riesgo (3)x(4)

(5)

Riesgo Total

(1)x(2)x(5)



Fuente: Propia


LOGO


MDCR N°___ Pág. __ /____

Matriz de clasificación de riesgos

Objetivo: Elaborar la matriz de clasificación del riesgo de acuerdo a la valor obtenido para la posibilidad y el impacto.

TIPO MATRIZ DE

COLOR

Actores Equipo de Análisis


17/10/2017

Revisado Por:

JSEGURA Aprobado Por: JSEGURA Fecha Aplicación

30/11/2017

237

Tabla 57- Cuadro de matriz de clasificación de riesgos

Fuente: Propia


Leyenda de prioridad

Prioridad 4 1 - 3

Prioridad 3 4 - 6

Prioridad 2 8 - 12

Prioridad 1 15 - 25

LOGO


PRDR N°___ Pág. __ /____


Objetivo: Priorizar los riesgosde acuerdo al valor de riesgo obtenido del producto de la posibilidad y el impacto.

TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

238

Tabla 58- Cuadro de priorización del riesgo

N° CÓDIGO DE

RIESGO Posibilidad [P] Impacto [I] ([P]x[I]) Prioridad

1 R1 2 2 4 Moderada

2 R2 2 2 4 Moderada

3 R3 1 2 2 Baja

4 R4 1 2 2 Baja

5 R5 1 1 1 Baja

6 R6 2 2 4 Moderada

7 R7 2 2 4 Moderada

8 R8 3 2 6 Moderada

9 R9 3 2 6 Moderada

10 R10 1 1 1 Baja

11 R11 1 1 1 Baja

12 R12 3 3 9 Alta

13 R13 1 2 2 Baja

14 R14 2 4 8 Alta

15 R15 2 4 8 Alta



18 R18 1 3 3 Baja

19 R19 3 4 12 Alta

20 R20 3 4 12 Alta

21 R21 3 5 15 Extrema

22 R22 3 4 12 Alta

23 R23 3 5 15 Extrema

LOGO


PRDR N°___ Pág. __ /____



TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

239

N° CÓDIGO DE


24 R24 2 4 8 Alta

25 R25 2 4 8 Alta



28 R28 2 4 8 Alta

29 R29 2 4 8 Alta

30 R30 2 5 10 Alta


32 R32 2 4 8 Alta

33 R33 1 3 3 Baja

34 R34 1 3 3 Baja



37 R37 1 3 3 Baja

38 R38 1 3 3 Baja

39 R39 1 3 3 Baja

40 R40 2 5 10 Alta


42 R42 2 4 8 Alta


44 R44 2 5 10 Alta

45 R45 2 4 8 Alta


47 R47 1 3 3 Baja


LOGO


PRDR N°___ Pág. __ /____



TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

240

N° CÓDIGO DE


49 R49 2 5 10 Alta

50 R50 2 5 10 Alta

51 R51 2 5 10 Alta

52 R52 2 5 10 Alta



55 R55 2 5 10 Alta


57 R57 2 5 10 Alta

58 R58 2 5 10 Alta

59 R59 4 5 20 Extrema

60 R60 4 5 20 Extrema

61 R61 3 5 15 Extrema

62 R62 3 5 15 Extrema

63 R63 5 5 25 Extrema

64 R64 3 5 15 Extrema

65 R65 3 5 15 Extrema

66 R66 5 5 25 Extrema

67 R67 5 5 25 Extrema

68 R68 3 5 15 Extrema

69 R69 3 5 15 Extrema

70 R70 3 5 15 Extrema

71 R71 3 5 15 Extrema

72 R72 2 5 10 Alta

73 R73 2 5 10 Alta

74 R74 2 5 10 Alta

LOGO


PRDR N°___ Pág. __ /____



TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

241

N° CÓDIGO DE


75 R75 2 5 10 Alta

76 R76 3 5 15 Extrema

77 R77 3 5 15 Extrema

78 R78 3 3 9 Alta

79 R79 3 4 12 Alta

80 R80 5 5 25 Extrema

81 R81 5 5 25 Extrema

82 R82 3 5 15 Extrema

83 R83 3 5 15 Extrema

84 R84 2 4 8 Alta

85 R85 3 4 12 Alta

86 R86 5 5 25 Extrema

87 R87 5 5 25 Extrema

88 R88 4 5 20 Extrema

89 R89 4 5 20 Extrema

90 R90 4 5 20 Extrema

91 R91 4 5 20 Extrema

92 R92 4 5 20 Extrema

93 R93 4 5 20 Extrema

94 R94 4 5 20 Extrema

95 R95 4 5 20 Extrema

96 R96 4 5 20 Extrema

97 R97 4 5 20 Extrema

98 R98 2 5 10 Alta

99 R99 2 5 10 Alta

100 R100 3 5 15 Extrema

LOGO


PRDR N°___ Pág. __ /____



TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

242

N° CÓDIGO DE


101 R101 2 4 8 Alta

102 R102 3 4 12 Alta

103 R103 5 5 25 Extrema

104 R104 4 5 20 Extrema

105 R105 4 5 20 Extrema

106 R106 5 5 25 Extrema

107 R107 2 1 2 Baja

108 R108 2 1 2 Baja

109 R109 1 1 1 Baja

110 R110 1 1 1 Baja

111 R111 1 1 1 Baja

112 R112 2 2 4 Moderada

113 R113 1 2 2 Baja

114 R114 3 2 6 Moderada

115 R115 3 2 6 Moderada

116 R116 1 1 1 Baja

117 R117 3 3 9 Alta

118 R118 1 2 2 Baja

119 R119 2 5 10 Alta

120 R120 2 5 10 Alta

121 R121 1 5 5 Moderada

122 R122 2 5 10 Alta

123 R123 2 5 10 Alta

124 R124 3 4 12 Alta

125 R125 3 5 15 Extrema

126 R126 1 5 5 Moderada

LOGO


PRDR N°___ Pág. __ /____



TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

243

N° CÓDIGO DE


127 R127 3 5 15 Extrema

128 R128 1 5 5 Moderada

129 R129 2 5 10 Alta

130 R130 2 5 10 Alta

131 R131 1 5 5 Moderada

132 R132 2 5 10 Alta

133 R133 2 5 10 Alta

134 R134 3 4 12 Alta

135 R135 1 5 5 Moderada

136 R136 1 5 5 Moderada

137 R137 3 5 15 Extrema

138 R138 3 3 9 Alta

139 R139 1 5 5 Moderada

140 R140 2 5 10 Alta

141 R141 2 5 10 Alta

142 R142 1 5 5 Moderada

143 R143 2 5 10 Alta

144 R144 2 5 10 Alta

145 R145 3 4 12 Alta

146 R146 1 5 5 Moderada

147 R147 1 5 5 Moderada

148 R148 3 5 15 Extrema

149 R149 3 5 15 Extrema

150 R150 1 5 5 Moderada

151 R151 2 4 8 Alta

152 R152 3 5 15 Extrema

LOGO


PRDR N°___ Pág. __ /____



TIPO TABLA



17/10/2017

Revisado Por:


30/11/2017

244

N° CÓDIGO DE


153 R153 1 5 5 Moderada

154 R154 4 5 20 Extrema

155 R155 4 5 20 Extrema

156 R156 4 5 20 Extrema

157 R157 4 5 20 Extrema

158 R158 4 5 20 Extrema

159 R159 2 4 8 Alta

160 R160 4 5 20 Extrema

161 R161 4 5 20 Extrema

162 R162 5 5 25 Extrema

163 R163 2 3 6 Moderada

164 R164 2 5 10 Alta

165 R165 2 4 8 Alta

Fuente: Propia


LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

245

Tabla 59- Cuadro de matriz de valoración de riesgos

Ítem Código

del Riesgo

Código de Activo

Activo Amenaza Vulnerabilidad Riesgo Prioridad Apetito Tolerancia Nivel

1 R1 HW_IMP Impresoras Fuego

Carencia de sistemas de seguridad anti incendios.

4 Moderada 5 10 Aceptable

















LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

246

Ítem Código

del Riesgo

Código de Activo








6 Moderada 5 10 Debe ser tratado



6 Moderada 5 10 Debe ser tratado










9 Alta 5 10 Debe ser tratado

LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

247

Ítem Código

del Riesgo

Código de Activo






Fuego

Carencia de sistemas de seguridad anti incendios.



Daños por agua




Desastres naturales










3 Baja 1.25 3.75 Debe ser tratado

LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

248

Ítem Código

del Riesgo

Código de Activo




























Ausencia de Políticas de software mal intencionado


LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

249

Ítem Código

del Riesgo

Código de Activo




Deficiencia en el procedimiento de prevención.







Pérdida de Equipos

Deficiencia en la actualización del inventario de equipos.



Pérdida de Equipos



30 R30 SI_MODEM MODEM Fuego



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

250

Ítem Código

del Riesgo

Código de Activo


31 R31 SI_MODEM MODEM Daños por agua
















LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

251

Ítem Código

del Riesgo

Código de Activo



Deficiencia en las políticas para determinar los acuerdos de niveles de servicio.











40 R40 SI_SWITCH SWITCH Fuego



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

252

Ítem Código

del Riesgo

Código de Activo


41 R41 SI_SWITCH SWITCH Daños por agua
















LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

253

Ítem Código

del Riesgo

Código de Activo












Fuego




Fuego




Daños por agua



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

254

Ítem Código

del Riesgo

Código de Activo



Daños por agua




Desastres naturales




Desastres naturales











LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

255

Ítem Código

del Riesgo

Código de Activo






























LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

256

Ítem Código

del Riesgo

Código de Activo


























LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

257

Ítem Código

del Riesgo

Código de Activo








Ausencia de Políticas de software mal intencionado














LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

258

Ítem Código

del Riesgo

Código de Activo















Pérdida de Equipos











LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

259

Ítem Código

del Riesgo

Código de Activo






















LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

260

Ítem Código

del Riesgo

Código de Activo






























LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

261

Ítem Código

del Riesgo

Código de Activo


























LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

262

Ítem Código

del Riesgo

Código de Activo






















LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

263

Ítem Código

del Riesgo

Código de Activo











Ingeniería social

Carencia de Capacitación sobre Ingeniería Social.


107 R107 HW_LBAR Ticketeras/Lectoras de Trabajo

Fuego




Daños por agua



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

264

Ítem Código

del Riesgo

Código de Activo



Desastres naturales



























LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

265

Ítem Código

del Riesgo

Código de Activo







Pérdida de Equipos


9 Alta 10 15 Aceptable






Fuego




Daños por agua




Desastres naturales



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

266

Ítem Código

del Riesgo

Código de Activo


























LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

267

Ítem Código

del Riesgo

Código de Activo







Fuego




Daños por agua




Desastres naturales











LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

268

Ítem Código

del Riesgo

Código de Activo



















Pérdida de Equipos







140 R140 SI_SISA Servidor ISA Fuego



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

269

Ítem Código

del Riesgo

Código de Activo


141 R141 SI_SISA Servidor ISA Daños por agua



142 R142 SI_SISA Servidor ISA Desastres naturales



















LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

270

Ítem Código

del Riesgo

Código de Activo






149 R149 SI_SISA Servidor ISA Pérdida de Equipos






151 R151 SI_SISA SICAP Corte de suministro eléctrico



152 R152 SI_SISA SICAP Errores de los usuarios



153 R153 SI_SISA SICAP Errores de configuración



154 R154 SI_SISA SICAP Fuga de información



LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

271

Ítem Código

del Riesgo

Código de Activo


155 R155 SI_SISA SICAP Introducción de falsa información



156 R156 SI_SISA SICAP Alteración de la información



157 R157 SI_SISA SICAP Corrupción de la información



158 R158 SI_SISA SICAP Destrucción de la información



159 R159 SI_SISA SICAP Caída del sistema por sobrecarga



160 R160 SI_SISA SICAP Acceso no autorizado



161 R161 SI_SISA SICAP Acceso no autorizado



162 R162 SI_SISA SICAP Ingeniería social Falta de políticas de seguridad


LOGO


MDVR N°___ Pág. __ /____



TIPO TABLA



21/10/2017

Revisado Por:


04/12/2017

272

Ítem Código

del Riesgo

Código de Activo


163 R163 SI_SISA OFIMATICA Corte de suministro eléctrico



164 R164 SI_SISA ANTIVIRUS Corte de suministro eléctrico



165 R165 SI_SISA ANTIVIRUS Errores de configuración



Fuente: Propia


LOGO


INDP N°___ Pág. __ /____

Inventario de Proyectos

Objetivo: Identificar proyectos de seguridad que sirvan de tratamiento a los riesgos identificados de acuerdo a la prioridad establecida. TIPO

TABLA

Actores Oficina de Informática Equipo de Análisis

Elaborado Por: EPEÑA Fecha Elaboración 22/10/2017


273

Tabla 60- Cuadro de inventario de proyectos


Código activo






60 Extrema Reducir

Capacitación de uso de equipos

S/.2,660.00



225 Extrema Reducir




180 Extrema Transferir Capacitación de uso y configuración de servidores

S/.1,050.00


Ingeniería social

Carencia de Capacitación sobre Ingeniería Social.

625 Extrema Transferir Capacitación en ingeniería social

S/.1,000.00




225 Extrema Reducir Definir e implementar política de copias de seguridad

$ 0,0224 por GB

LOGO


INDP N°___ Pág. __ /____



TABLA




274


Código activo






500 Extrema Reducir




180 Extrema Reducir

Definir e implementar política de supervisión por muestreo para los diferentes procesos comerciales

S/.8,082.00




500 Extrema Reducir




500 Extrema Reducir




300 Extrema Reducir

LOGO


INDP N°___ Pág. __ /____



TABLA




275


Código activo






240 Extrema Reducir



Ausencia de Políticas de software mal intencionado.

225 Extrema Reducir Definir políticas de software malintencionado

S/.271.20




625 Extrema Reducir

Implementar directiva de capacitación del sistema de gestión Comercial

S/.1,000.00




625 Extrema Reducir

Documentar los perfiles de acceso a los diferentes sistemas o equipos e implementar una directiva que describa el procedimiento de asignación del perfil

S/.1,000.00

LOGO


INDP N°___ Pág. __ /____



TABLA




276


Código activo






500 Extrema Reducir




500 Extrema Reducir




400 Extrema Reducir

Implementar plan de gestión de configuración de todos los equipos.

S/.2,660.00

LOGO


INDP N°___ Pág. __ /____



TABLA




277


Código activo






225 Extrema Reducir




625 Extrema Reducir




300 Extrema Reducir


Errores de mantenimiento / actualización de equipos


225 Extrema Reducir

LOGO


INDP N°___ Pág. __ /____



TABLA




278


Código activo



(hardware)




135 Extrema Reducir




135 Extrema Reducir




225 Extrema Reducir Implementar plan de mantenimiento preventivo

S/.295,909.00




180 Extrema Reducir Implementar plan de seguridad

S/.126,496.00

LOGO


INDP N°___ Pág. __ /____



TABLA




279


Código activo






400 Extrema Reducir




225 Extrema Reducir




500 Extrema Reducir



100 Extrema Reducir


Falta de un plan de seguridad 200 Extrema Reducir





LOGO


INDP N°___ Pág. __ /____



TABLA




280


Código activo





34 R162 SW_SICAP SICAP Ingeniería social Falta de políticas de seguridad

250 Extrema Reducir


Pérdida de Equipos


225 Extrema Reducir Implementar plan de seguridad

S/.126,496.00



Carencia de un plan de auditoría de accesos.

375 Extrema Reducir

Implementar proceso de auditoría de base de datos

S/.3,580.00

37 R160 SW_SICAP SICAP Acceso no autorizado Falta de políticas de control de acceso 200 Extrema Reducir




180 Extrema Reducir Implementar un plan de supervisión.

S/.8,082.00

LOGO


INDP N°___ Pág. __ /____



TABLA




281


Código activo






625 Extrema Reducir




225 Extrema Reducir




500 Extrema Reducir




300 Extrema Reducir




500 Extrema Reducir




500 Extrema Reducir

LOGO


INDP N°___ Pág. __ /____



TABLA




282


Código activo






300 Extrema Reducir




240 Extrema Reducir



200 Extrema Reducir


S/.1,000.00

LOGO


INDP N°___ Pág. __ /____



TABLA




283


Código activo






300 Extrema Reducir

Implementar un sistema de administración de eventos.

S/.8,082.00




625 Extrema Reducir

LOGO


INDP N°___ Pág. __ /____



TABLA




284


Código activo






375 Extrema Reducir




625 Extrema Reducir

LOGO


INDP N°___ Pág. __ /____



TABLA




285


Código activo






500 Extrema Reducir

Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto

Objetivo: Realizar el llenado de la ficha del proyecto con los datos generales del proyecto a ejecutar.

TIPO TABLA


Elaborado Por:

EPEÑA Fecha Elaboración

23/10/2017

Revisado Por:

JSEGURA Aprobado Por:

JSEGURA Fecha Aplicación

12/12/2017

286

Tabla 61- Ficha de proyecto de capacitación de uso de equipos

Proyecto Nº 01: “Capacitación de uso de equipos”

Alcance El presente plan de capacitación brindada por un tercero es de aplicación para el personal cuya labor está relacionada a los procesos de gestión comercial en la empresa EPSEL S.A.

Objetivo Reducir el índice de errores de usuario en el ingreso de datos en los sistemas de sistema de gestión comercial y el SICAP.

Riesgo/Clasificación R21

Estimación de Tiempos 20 horas.

Requerimientos

1. Identificar las partes que componen una computadora. 2. Ensamblar una computadora. 3. Instalar y configurar software utilitario. 4. Brindar un mantenimiento preventivo a los equipos de

cómputo. 5. Especificar mejoras a equipos computacionales.

PROYECTO

Cotización Cumplimiento

(%) Presupuesto

(S/) Propuesta

Mantenimiento y uso de computadoras

100% S/ 2,660.00 Ver anexo 07

Unidad Responsable Oficina de informática.

Activos afectados - Estación de trabajo.

Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

287

Tabla 62- Ficha de proyecto implementar plan de seguridad

Proyecto Nº 02: “Implementar plan de seguridad”

Alcance El proyecto de implementación de un plan de seguridad contribuye a mejorar la seguridad en los activos de las EPS.

Objetivo

- Disminuir la difusión de software dañino. - Reducir fuga de información. - Prevenir la perdida de equipos. - Reducir la manipulación de los datos que impacte

negativamente en la gestión del proceso comercial.

Riesgo/Clasificación R23/R60/R70/R89/R154/R155/R156/R157/R158/R162/R149

Estimación de Tiempos 6 meses.

Requerimientos

1. Formar un comité de gestión de seguridad. 2. Obtener el compromiso de alta dirección. 3. Identificar la lista de activos de la entidad. 4. Evaluar los riesgos que podría tener cada activo de la entidad.

5. Definir la priorización de los riesgos de los activos. 6. Establecer medidas de protección de los activos en base a los riesgos

identificados.

PROYECTO


(%) Presupuesto

(S/) Propuesta

Organismo Supervisor de las Contrataciones del Estado - OSCE

100% S/ 126,496.00 Ver anexo 07

Unidad Responsable Oficina de Informática.

Activos afectados - Impresoras. - Estación de Trabajo. - Servidor de base de datos. -

Servidor DHCP. - SICAP.

Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

288

Tabla 63- Ficha de proyecto implementar plan de gestión de configuración de todos los equipos

Proyecto Nº 03: “Implementar plan de gestión de configuración de todos los equipos”

Alcance La presente implementación del plan de gestión de configuración de todos los equipos es de aplicación para el servidor de base de datos y el SICDESA relacionados a los procesos de gestión comercial de la empresa EPSEL S.A.

Objetivo Identificar y definir claramente el propósito del proyecto de implementación del plan de gestión de configuración para el servidor de base de datos y el SICDESA, los documentos que se redactarán, los plazos y las funciones y responsabilidades del proyecto.

Riesgo/Clasificación R59/R77/R87/R100/R127/R137/R148

Estimación de Tiempos 1 mes

Requerimientos 1. Elaborar cronograma de verificación de equipos. 2. Actualizar inventario de equipos. 3. Elaborar lista de cada PC y servidor con sus respectivos

sistemas informáticos y utilitarios instalados. 4. Monitorear revisión de los equipos.

PROYECTO

Cotización Cumplimiento (%) Presupuesto (S/) Propuesta Plan de gestión de configuración de equipos

100 % S/ 1000 Área de informática.


Activos afectados - Servidor de base de datos. - Sistema de gestión comercial.

Fuente: Propia

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

289

Tabla 64- Ficha de proyecto definir e implementar política de supervisión por muestreo para los diferentes procesos comerciales

Proyecto Nº 04: “Definir e implementar política de supervisión por muestreo para los diferentes procesos comerciales”

Alcance Este proyecto esta aplicada para el personal que está vinculado con el SICDESA y El Servidor de Base de Datos en las EPS.

Objetivo - Reducir la introducción de falsa información. - Evitar la alteración de la información.

Riesgo/Clasificación R61/R90/R92/R94/R96

Estimación de Tiempos 1 mes.

Requerimientos

1. Recolección de Logs de Eventos y Monitoreo. 2. Monitoreo de Logs de Eventos para Cumplimiento Regulatorio. 3. Forense de Logs y Búsqueda de logs Crudos en la Información de

Logs de Eventos. 4. Reportes de los Servidores Windows y las estaciones de trabajo. 5. Configura Alertas en Tiempo Real en servidores Windows y

Estaciones de Trabajo. 6. Compatibilidad en: Windows 2003 Server, Windows 2008, Windows

NT, Windows 7. 7. Todos los demás sistemas operativos de Windows.

PROYECTO

Cotización Cumplimiento (%)

Presupuesto (S/)

Propuesta

Software de monitoreo de eventos de Windows (Event Log Analyzer)

100% S/.8,082 Ver anexo 07


Activos afectados - Servidor de base de datos. - Sistema de Gestión Comercial.

Fuente: Propia


Tabla 65- Ficha de proyecto implementar un plan de supervisión

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

290

Proyecto Nº 05: “Implementar un plan de supervisión”

Alcance La presente implementación del plan de supervisión es de aplicación para el personal relacionados a los procesos de gestión comercial de la empresa EPSEL S.A.

Objetivo Implementar controles de validación en las entradas de datos del sistema.

Riesgo/Clasificación R62/R63/R64/R66/R68/R91/R93/R95/R97

Estimación de Tiempos 2 meses

Requerimientos Supervisar los equipos con el sistema de gestión comercial: 1. Elaborar cronograma de verificación de equipos. 2. Elaborar lista de cada PC y servidor con sus respectivos

sistemas informáticos y utilitarios instalados. 3. Monitorear revisión de los equipos

Registro de Log: 1. Recolección y supervisión de eventos. 2. Monitoreo de eventos para cumplimiento regulatorio. 3. Forense y búsqueda de eventos crudos en la información. 4. Reportes de los servidores Windows y las estaciones de

trabajo 5. Configurar alertas en tiempo real en servidores Windows y

Estaciones de Trabajo. 6. Compatibilidad en: Windows 2012 Server, Windows Vista,

Windows 7, Windows 10.

PROYECTO


(%)

Presupuesto

(S/)

Propuesta

Plan de gestión de configuración de equipos

30 % S/ 0 Área de Informática.

Software de monitoreo de eventos Windows (Event Log Analyzer)

70% S/.8,082 Ver Anexo 07

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

291



Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

292

Tabla 66- Ficha de proyecto definir e implementar política de copias de seguridad

Proyecto Nº 06: “Definir e implementar política de copias de seguridad automatizada”

Alcance Este proyecto involucra al personal encargado de la gestión del servidor de Base de Datos.

Objetivo Mantener la seguridad de la información de la base de datos.

Riesgo/Clasificación R65 / R67


Requerimientos

1. Reducción de costos innecesarios.

2. Implementación sencilla y de interfaz intuitiva.

3. Protección contra ransomware.

4. Resguardo de información segura.

PROYECTO


(%)

Presupuesto (S/) Propuesta

Copia de seguridad sencilla y fiable integrada en la nube

100% Primer 1 TB (TB)/mes - $0,024 por GB.

Ver anexo

07


Activos afectados - Servidor de base de datos.

Fuente: Propia

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

293

Tabla 67- Ficha de proyecto implementar un sistema de administración de eventos

Proyecto Nº 07: “Implementar un sistema de administración de eventos”

Alcance El presente proyecto de implementación de un sistema de administración de eventos relacionados a los procesos de gestión comercial de la empresa EPSEL S.A.

Objetivo Registrar los eventos bajo las políticas del SICDESA y servidor de base de datos.

Riesgo/Clasificación R69 / R80/R82 / R103/R105.


Requerimientos Supervisar los equipos con el sistema de gestión comercial: 1. Elaborar cronograma de verificación de equipos. 2. Elaborar lista de cada PC y servidor con sus respectivos

sistemas informáticos y utilitarios instalados. 3. Monitorear revisión de los equipos

Registro de Log: 7. Recolección y supervisión de eventos. 8. Monitoreo de eventos para cumplimiento regulatorio. 9. Forense y búsqueda de eventos crudos en la información. 10. Reportes de los servidores Windows y las estaciones de trabajo 1. Configurar alertas en tiempo real en servidores Windows y

Estaciones de Trabajo. 2. Compatibilidad en: Windows 2012 Server, Windows Vista,

Windows 7, Windows 10

PROYECTO


(%)

Presupuesto

(S/)

Propuesta

Software de monitoreo de eventos

Windows (Event Log Analyzer)

100% S/.8,082 Ver anexo

07

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

294



Fuente: Propia

Tabla 68- Ficha de proyecto definir políticas de software mal intencionado

Proyecto Nº 08: “Definir políticas de software mal intencionado”

Alcance Este proyecto involucra al personal encargado de la gestión del servidor de Base de Datos con el fin de evitar el uso de software malintencionado.

Objetivo Mantener la seguridad de la información de la base de datos.


Estimación de Tiempos 1 Mes

Requerimientos 1. Gestionar perfiles de seguridad. 2. Proteger equipos y servidores de archivos. 3. Controlar aplicaciones.

PROYECTOS

Cotización Cumplimiento (%) Presupuesto (S/) Propuesta

Software Kaspersky 100% S/ 39595.2 Ver Anexo07



Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

295

Tabla 69- Ficha de proyecto implementar plan de mantenimiento preventivo

Proyecto Nº 09: “Implementar plan de mantenimiento preventivo”

Alcance El presente proyecto de mantenimiento preventivo es de aplicación para la base de datos del proceso de gestión comercial en la empresa EPSEL S.A.

Objetivo Realizar un procedimiento para el mantenimiento de hardware.

Riesgo/Clasificación R76.


Requerimientos 1. Supervisar las actividades relacionadas a la operación de la arquitectura de los equipos.

2. Elaborar programas aplicativos según requerimientos de los equipos.

3. Realizar, programar y supervisar el soporte técnico informático. 4. Mantener actualizada la información de los sistemas

informáticos.

PROYECTOS

Cotización Cumplimiento (%) Presupuesto (S/) Propuesta Plan de mantenimiento preventivo 100% S/. 295 909

Ver Anexo 07



Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

296

Tabla 70- Ficha de proyecto documentar los perfiles de acceso a los diferentes sistemas o equipos e implementar una directiva que describa el procedimiento de

asignación del perfil

Proyecto Nº 11: “Documentar los perfiles de acceso a los diferentes sistemas o equipos e implementar una directiva que describa el procedimiento de asignación del perfil”

Alcance El presente proyecto es de documentar los perfiles de acceso a los diferentes sistemas o equipos e implementar una directiva que describa el procedimiento de asignación del perfil que involucra los proceso de gestión comercial en la empresa EPSEL S.A.

Objetivo Realizar un procedimiento de los perfiles de acceso para los sistemas o equipos e implementar de una directiva.



Requerimiento 1. Gestionar lista de trabajadores. 2. Gestionar Perfiles de trabajadores. 3. Documentar privilegios de por perfil.

PROYECTO


Gestionar perfiles de acceso. (Área de Informática)

100 % S/ 1000 Área de

Informática.


Activos afectados Servidor de base de datos. Sistema de gestión comercial. SICAP.

Fuente: Propia

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

297

Tabla 71- Ficha de proyecto implementar proceso de auditoría de base de datos

Proyecto Nº 12: “Implementar proceso de auditoría de base de datos”

Alcance Este proyecto está dirigida al personal encargado de la gestión de base datos.

Objetivo Establecer un proceso de monitoreo sobre la información de la base de datos.

Riesgo/Clasificación R83/R160

Estimación de Tiempos 1 Mes

Requerimiento

Servidor de Pruebas: 1. Motherboard GIGABYTE GA-B250M-DS3H, LGA1151. 2. Procesador Intel Core i7-7700, 3.60 GHz, 8 MB Caché L3, LGA1151. 3. Memoria Corsair CMV8GX4M1A2133C15, 8 GB, DDR4, 2133 MHz. 4. Unidad de estado sólido Western Digital Blue, 500GB, SATA 6Gb/s,

M.2. 5. DVD SuperMulti LG GH24NSD1, 24X, interno, SATA. 6. Case Thermaltake Versa H23, Mid Tower, 500W, Negro. 7. Kit Teclado y Mouse GeniusSlimStar C130, USB, Negro. 8. Monitor Advance A-195MS, 19.5" LED, 1600 x 900. 9. UPS Elise AUR-650, interactivo, 650VA, 360W, 162~290 VAC, 6

tomas NEMA.

PROYECTO


Servidor de

pruebas 70% S/ 3580.00 Ver anexo 7


Activos afectados Servidor de base de datos.

Fuente: Propia

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

298

Tabla 72- Ficha de proyecto implementar directiva de capacitación del sistema de

gestión comercial

Proyecto Nº 13: “Implementar directiva de capacitación del sistema de gestión Comercial”

Alcance El presente proyecto es de implementar por el área de informática la directiva de capacitación del sistema de gestión comercial en la empresa EPSEL S.A.

Objetivo Redactar e implementar por el área de informática la directiva de capacitación del sistema de gestión comercial.



Requerimiento 1. Analizar el proceso de gestión comercial. 2. Analizar subprocesos de gestión comercial. 3. Relacionar el proceso de la gestión comercial con los demás

procesos. 4. Diseñar un flujograma del sistema de gestión comercial.

PROYECTO


Implementar directivas de

capacitación del Sistema de

Gestión Comercial.

100% S/ 1000 Ver anexo 7


Activos afectados Sistema de gestión comercial.

Fuente: Propia

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

299

Tabla 73- Ficha de proyecto capacitación en ingeniería social

Proyecto Nº 14: “Capacitación en ingeniería social”

Alcance Este proyecto está dirigido al personal de todas las oficinas de las EPS, con la finalidad de concientizar la confidencialidad de la información.

Objetivo Establecer una conducta confidencial del personal sobre la información.

Riesgo/Clasificación R106.

Estimación de Tiempos 2 Semanas.

Requerimiento

1. Definir términos de ingeniería social 2. Implementar escenarios basados en ingeniería social. 3. Concientizar al personal sobre los posibles ataques que se

pueden producir mediante la ingeniería social. 4. Realizar talleres hasta cumplir el objetivo de concientización.

PROYECTO


Capacitación en

ingeniería social

100% S/. 1000 Área de

Informática



Fuente: Propia


LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

300

Tabla 74- Ficha de proyecto capacitación de uso y configuración de servidores

Proyecto Nº 15: “Capacitación de uso y configuración de servidores”

Alcance El presente proyecto de capacitación de uso y configuración del servidor web a través de un proveedor externo para el área de informática de la empresa EPSEL S.A.

Objetivo Contratar el servicio de un tercero para brindar la capacitación de uso y configuración de servidor web.



Requerimiento 1. Implementación y administración de Windows Server 2012. 2. Implementación de la virtualización de servidores con Hyper-V. 3. Implementación de Active Directory Domain Services. 4. Administración de los Objetos de Dominio de Active Directory. 5. Implementación de IPv4 Sesión. 6. Implementación de DHCP. 7. Implementación de DNS, WINS. 8. Implementación de directivas de grupo GPOs. 9. Gestión de Virtualización – Hyper-V. 10. Gestión de GPOs. 11. Implementación Acceso Remoto. 12. Implementación IIS, WEB, FTP.

PROYECTO


Diplomado Windows Server

2012 100 % S/ 1050.00 Ver Anexo 7


Activos afectados Servidor web.

LOGO


FIPR N°___ Pág. __ /____

Ficha de proyecto


TIPO TABLA


Elaborado Por:


23/10/2017

Revisado Por:



12/12/2017

301

Tabla 75- Ficha de proyecto implementar plan de mantenimiento de equipos

Proyecto Nº 16: “Implementar plan de Mantenimiento de equipos”

Alcance Este proyecto está dirigido al personal de la oficina de informática de la EPS, con el fin de tener las capacidades y habilidades de realizar el mantenimiento de los equipos.

Objetivo Implementar un plan de mantenimiento de equipos.

Riesgo/Clasificación R59/R77/R87/R100/R127 / R137 / R148

Estimación de Tiempos 1 Semana

Requerimiento

1. Identificar las partes que componen una computadora. 2. Ensamblar una computadora. 3. Instalar y configurar software utilitario. 4. Brindar un mantenimiento preventivo a los equipos de cómputo. 5. Especificar mejoras a equipos computacionales.

PROYECTO


Mantenimiento y uso de computadoras

100% S/ 2,660.00 Ver anexo 07



Fuente: Propia


LOGO


CDPE N°___ Pág. __ /____

Cronograma del plan de ejecución

Objetivo: Establecer el cronograma de ejecución de los proyectos identificados. TIPO

DIAGRAMA DE GANTT




302

Tabla 76- Cuadro de cronograma de ejecución del plan

Fuente: Propia

LOGO


LIEP N°___ Pág. __ /____


Objetivo: Determinar el listado de indicadores a evaluar por proyecto TIPO

TABLA


Elaborado Por: MSOTO Fecha Elaboración 24/10/2017


Tabla 77 - Listado de Indicadores a evaluar por proyecto

Proyecto Riesgos

Tratados Indicadores a Evaluar

Periodicidad de Evaluación

Fecha de Control / Número Ficha Monitoreo/Responsable

Capacitación de uso de equipos

R21 Número de incidentes en falla de

equipos por error humano Mensual

Capacitación de uso y configuración de servidores

R125

Cantidad de Incidentes por falla de configuración de servidores

Tiempo Promedio de Servicio Web fuera de línea

Mensual

Capacitación en ingeniería social

R106

Cantidad de incidentes de acceso no autorizado

Cantidad de ataques externos detectados

Mensual

Definir e implementar política de copias de seguridad

R65 - R67

Porcentaje de la muestra con errores de consistencia

Porcentaje de la muestra con alteración de registros

Cantidad de registros eliminados sin sustento

Porcentaje de tareas ejecutadas correctamente.

Porcentaje de copias de seguridad

Mensual

LOGO


LIEP N°___ Pág. __ /____



TABLA



Revisado Por:

JSEGURA Aprobado Por: JSEGURA Fecha Aplicación 19/12/2017

304

Proyecto Riesgos




que han sido probadas y son operables

Número de caídas de la base de datos y tiempo promedio de recuperación

Definir e implementar política de supervisión por muestreo para los diferentes procesos comerciales

R61 - R90 - R92 - R94 - R96

Cantidad de supervisiones programas por proceso

Cantidad de supervisiones ejecutadas por proceso

Porcentaje de la muestra con errores de consistencia por proceso

Porcentaje de la muestra con alteración de registros por proceso

Mensual

Definir políticas de software malintencionado

R71

Índice de rendimiento (cantidad de consultas atendidas)

Tiempo promedio de respuesta Índice de accesos no autorizados

Mensual

LOGO


LIEP N°___ Pág. __ /____



TABLA



Revisado Por:


305

Proyecto Riesgos




Porcentaje de la muestra con errores de consistencia de información

Porcentaje de la muestra con evidencias de alteración información

Tiempo promedio de operatividad


R81 - R88 - R104 - R160 - R161

Cantidad de accesos no autorizados

Índice de variación de asignación de perfiles de accesos

Porcentaje de la muestra con errores de perfil de acceso

Porcentaje de la muestra problemas de configuración del perfil de acceso.

Índice de perfiles activos versus personal en actividad

Cantidad de accesos por rangos

Mensual

LOGO


LIEP N°___ Pág. __ /____



TABLA



Revisado Por:


306

Proyecto Riesgos




horarios

Implementar directiva de capacitación del sistema de gestión comercial

R86

Cantidad de incidentes atendidos por errores de usuario.

Tiempo promedio de atención ante un incidente.

Mensual

Implementar plan de gestión de configuración de todos los equipos

R59 - R77 - R87 - R100

Cantidad de equipos sin actualización vigente.

Cantidad de incidentes por errores de configuración.

Bimestral

Implementar plan de mantenimiento de equipos

R127 - R137 - R148

Porcentaje de cumplimiento del plan de mantenimiento.

Cantidad de incidentes por falta de mantenimiento.

Semestral

Implementar plan de mantenimiento preventivo

R76

Porcentaje de cumplimiento del plan de mantenimiento.

Cantidad de incidentes por falta de mantenimiento.

Trimestral

LOGO


LIEP N°___ Pág. __ /____



TABLA



Revisado Por:


307

Proyecto Riesgos




Implementar plan de seguridad

R23 - R60 - R70 - R89 - R149 - R152 - R154 - R155 - R156 - R157 - R158 - R162

Cantidad de caídas del servidor Cantidad de quejas de usuarios

por incidentes de seguridad Porcentaje de equipos con

software no licenciado Indicie de nivel de servicio Cantidad de accesos no

autorizados Cantidades denegaciones de

servicio.

Trimestral

Implementar proceso de auditoría de base de datos

R83



Índice de perfiles activos versus personal en actividad

Cantidad de accesos por rangos

Mensual

LOGO


LIEP N°___ Pág. __ /____



TABLA



Revisado Por:


308

Proyecto Riesgos




horarios

Implementar un plan de supervisión

R62 - R63 - R64 - R66 - R68 - R91 - R93 - R95 - R97

Porcentaje de la muestra con errores de consistencia Porcentaje de la muestra con alteración de registros Cantidad de registros eliminados sin sustento

Índice de crecimiento de los archivos físicos de la base de datos

Mensual

Implementar un sistema de administración de eventos

R69 - R82 - R105

Índice de crecimiento de los archivos físicos de la base de datos



Mensual

Revisar y mejorar la R80 - Cantidad de accesos no Mensual

LOGO


LIEP N°___ Pág. __ /____



TABLA



Revisado Por:


309

Proyecto Riesgos




política de rotación de personal

R103 autorizados Porcentaje de la muestra

problemas de configuración del perfil de acceso.

Fuente: Propia

Nota: El cuadro no contiene información del seguimiento de los proyectos propuestos debido, a la fecha de la presentación de la

presente, la empresa que se tomó como caso de estudio no ha implementado ninguno, ya que no han sido incluidos en el presupuesto

anual.


CAPÍTULO V: CONCLUSIONES

1. En la presente tesis se propuso el modelo de gestión de riesgos de TI que

contribuya a la operación de los procesos de gestión comercial de las

empresas del sector de saneamiento del norte del Perú, que se validó por

03 profesionales expertos, quienes aceptaron el modelo validando las

características de flexibilidad y simplificación de procesos que promuevan

la gestión de riesgos de TI en este tipo de empresa, como se muestra en el

análisis de resultados. (Anexo N° 04 y Anexo N°5), De la aplicación del

Método Alfa de Cronbach para estimar la fiabilidad del modelo propuesto

se ha obtenido un coeficiente de confianza de 0.909, que de acuerdo a la

escala de George y Mallery (2003, p. 231) manejada para este modelo,

corresponde a un modelo “excelente”. Mientras que, de la aplicación del

coeficiente de Kendall se ha obtenido 0.994 que indica que la hipótesis es

aceptada debido a que existe una fuerte asociación entre las clasificaciones

y los valores estándar asignados por los profesionales expertos que

evaluaron el modelo.Finalmente, concluir que, de la combinación de los

resultados de los dos métodos aplicados para la evaluación, se puede

indicar existe una alto nivel de concordancia entre los 03 evaluadores

expertos y por el valor obtenido con la aplicación del método de Alfa de

Cronbanch, el modelo alcanza un nivel de excelente.

311

2. El modelo propuesto, en la presente tesis, se aplicó en la empresa

prestadora de servicios de saneamiento de Lambayeque como caso de

estudio, verificando que es posible contribuir como la operación de los

procesos de gestión comercial, debido a que fue posible identificar 165

riesgos cuya materialización podría afectar la operación de los procesos de

gestión comercial de esta empresa. Estos riesgos, se colocaron en una

matriz semaforizada (Tabla N°55) en base a la cual se pudo obtener el

cuadro de priorización de riesgos de TI (Tabla N°56), y de esta manera 52

riesgos categorizados como de alta prioridad, permitiendo de esta forma

apoyar a la efectiva toma de decisiones.

3. Así también, con la aplicación del modelo de gestión de riesgos de TI

desarrollado en la presente tesis, en el caso de estudio, se logró formular 16

proyectos que permiten dar tratamiento a los 52 riesgos calificados como

de alta prioridad, promoviendo de esta manera una toma de decisiones de

carácter proactivo y evitando el comportamiento reactivo que acarrea

consigo los costos de corregir los efectos de un riesgo de TI materializado.

4. Finalmente, con la aplicación del modelo de gestión de riesgos de TI

propuesto, se demuestra que con características de procesos simplificados

es posible mapear los 165 riesgos identificados, en un esquema de

priorización, con una lectura semaforizada que permite al encargado de la

gestión de las tecnologías de información, proponer proyectos para el

tratamiento de los mismos de manera proactiva, definiendo los recursos

requeridos y las actividades de mejora continua.

312

REFERENCIAS BIBLIOGRÁFICAS

1Ponemon Institute. 2017. Cost Data Breach Study.

https://info.resilientsystems.com/hubfs/IBM_Resilient_Branded_Content/White_Pap

ers/2017_Global_CODB_Report_Final.pdf

2El comercio. 2018. Whatsapp sufre una caída mundial basada en un profundo

cambio. http://www.elcomercio.es/tecnologia/201705/04/whatsapp-caida-mundial-

basada-20170504043123.html

3Deloitte. 2018. Lecciones tras la caída de Whatsapp

https://www2.deloitte.com/do/es/pages/risk/articles/lecciones-tras-la-caida-de-

whatsapp.html

4La prensa gráfica. 2018. “Esto es un error de estudiante de primer año de

informática”: 5 datos claves para entender el “error humano” de Smartmatic en la

elecciones 2018. https://www.laprensagrafica.com/techlife/Esto-es-un-error-de-

estudiante-de-primer-ano-de-informatica-5-datos-claves-para-entender-el-error-

humano-de-Smartmatic-en-las-Elecciones-2018-20180306-0049.html

5RPP Noticias. 2014. Caída del sistema genera aglomeración de pasajeros en el

Jorge Chávez. http://rpp.pe/lima/actualidad/caida-de-sistema-genera-

aglomeracion-de-pasajeros-en-el-jorge-chavez-noticia-694161

6Oficina de asuntos del consumidor de la casa blanca. Capítulo 15. Influencia del

consumidor y difusión de las innovaciones. 515.

https://books.google.com.pe/books?id=Wqj9hlxqW-

313

IC&pg=PA515&dq=oficina+de+Asuntos+del+Consumidor+de+la+casa+blanc

a&hl=es-419&sa=X&ved=0ahUKEwi0nsGU--

fZAhUN7lMKHXpMBtEQ6AEILTAB#v=onepage&q=oficina%20de%20Asuntos%20d

el%20Consumidor%20de%20la%20casa%20blanca&f=false

7EY. 2017. El camino hacia la resiliencia cibernética.

http://www.ey.com/Publication/vwLUAssets/EY-el-camino-hacia-resiliencia-

cibernetica/$FILE/EY-el-camino-hacia-resiliencia-cibernetica.pdf

8 NATO Alliance Ground Surveillance Management Agency (NAGSMA). 2013.

Bélgica. Implementando un estándar de gestión de riesgos.

9 Vanegas G, 2014, “Hacia un modelo para la gestión de riesgos de TI en MiPyMES:

MOGRIT”

10Celi E., 2014, Lambayeque. “Un modelo para la gestión de TI en las empresas

microfinancieras: caso Lambayeque, Perú”

11 Molina, M. 2015. Madrid. Propuesta de un plan de gestión de riesgos de

tecnología superior politécnica.

http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-

2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf

12 Murillo Ch. y S. Rivas, 2015, Colombia. Propuesta metodológica para la gestión

del riesgo en microempresas comercializadoras de electrodomésticos basada en

los modelos ISO 31000:2011 y OHSAS 18001:2007.

https://repositorio.escuelaing.edu.co/bitstream/001/226/1/EC-

Especializaci%C3%B3n%20en%20Gestion%20Integrada%20QHSE-1072493699.pdf

314

13Arangurí, M., R. Iman y G. León, 2016, Chiclayo. Modelo de gestión de riesgos de

TI basados en estándares adaptados a las TI que soportan los procesos para

contribuir a la generación de valor en las universidades privadas de la región

Lambayeque.

14Chillogallo, E., V. Zambrano, 2016, Quito. Elaboración de un modelo de gestión

de riesgos de tecnologías de información para la fiscalía general del estado.

15Coronel, K., 2017, Ecuador. Modelo de gobierno y gestión de TI para industrias

farmacéuticas ecuatorianas, tomando como referencia las mejores prácticas de

manufactura y gobierno de TI. Caso de estudio: Laboratorios industriales

farmacéuticos ecuatorianos (LIFE)

16Instituto de Auditores Internos. 2013. España. Definición e implantación de

apetito de riesgo. 15-16. https://auditoresinternos.es/uploads/media_items/apetito-

de-riesgo-libro.original.pdf


apetito de riesgo. 16. https://auditoresinternos.es/uploads/media_items/apetito-de-

riesgo-libro.original.pdf


apetito de riesgo. 16. https://auditoresinternos.es/uploads/media_items/apetito-de-

riesgo-libro.original.pdf

19 Guerra M., Tecnológico de Monterrey, 2006. Resumen de la tesis: evaluación del

riesgo informático ponderado y su implantación en el campus estado México-

315

Edición Única. 23-25.

https://repositorio.itesm.mx/ortec/bitstream/11285/567630/1/DocsTec_4892.pdf

20 Guerra M., Tecnológico de Monterrey, 2006. Resumen de la tesis: evaluación del riesgo informático ponderado y su implantación en el campus estado México-Edición Única. 28-29. https://repositorio.itesm.mx/ortec/bitstream/11285/567630/1/DocsTec_4892.pdf 21 Guerra M., Tecnológico de Monterrey, 2006. Resumen de la tesis: evaluación del riesgo informático ponderado y su implantación en el campus estado México-Edición Única. 29-30. https://repositorio.itesm.mx/ortec/bitstream/11285/567630/1/DocsTec_4892.pdf 22 Guerra M., Tecnológico de Monterrey, 2006. Resumen de la tesis: evaluación del riesgo informático ponderado y su implantación en el campus estado México-Edición Única. 32-36. https://repositorio.itesm.mx/ortec/bitstream/11285/567630/1/DocsTec_4892.pdf 23Sunass: «El Plan Maestro Optimizado permite tomar decisiones acertadas de tarifas», 2016, http://www.otass.gob.pe/noticia.php?idnoticia=46

316

ANEXOS

317

Anexo N° 01: Encuesta para determinar la importancia de los activos que contribuyen a la continuidad de la operación de los

procesos comerciales

Encuesta para determinar la importancia de los activos que contribuyen a la continuidad de la operación de los Procesos Comerciales Pág. ____ /_____

Objetivo: Identificar que activos contribuyen a la continuidad en la operación de los procesos comerciales.

Entidad: Área Puesto Fecha

N° Paso 1: identifique los activos1 importantes para la operación de los procesos comerciales

Paso 2: Determine el grado de importancia de los activos mencionados en el paso 1. (1 = Muy Alta, 2 = Alta, 3 = Regular, 4= Baja, 5=Muy Baja)

Paso 3: Describa brevemente las situaciones en las que estos activos se ven amenazados2.

Paso 4. Para cada uno de los siguientes criterios, determine los requerimientos de seguridad cada activo

Paso 5: Indique que estrategias se utilizan actualmente para la protección del activo citado y defina aceptables y tolerables ante la presencia de un incidente. Confidencialidad3 Integridad4 Disponibilidad5

1

2

3

4

5

1 Un activo es algo que la Organización tiene o usa y que, si es perdido o dañado, causaría un daño a la Organización. 2 Cualquier cosa que puede suceder y cuando ocurre tiene consecuencias negativas sobre el valor del activo. 3 Aseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso. 4 Garantía de la exactitud y completitud de la información y los métodos de su procesamiento. 5 Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

Anexo N° 02: Encuesta de gestión de riesgos de tecnologías de información en la

empresa

Objetivo: Identificar el nivel de riesgos de tecnologías de información aplicado en la institución.

Instrucciones: A continuación se le presentará una serie de afirmaciones relacionadas a la Gestión

de Riesgos de Tecnologías de la información. De acuerdo a su experiencia, marque una (X) en la

columna que corresponda a la escala de calificación que otorgaría a su empresa. En caso requiera

hacer alguna aclaración puntual sobre el tema, sírvase usar la columna "Observaciones".

N Preguntas Nunca A veces Con Frecuencia Siempre

Evaluar la gestión de riesgos 1 ¿Determina la empresa el

nivel de riesgos relacionados con las TI que está dispuesta a asumir para cumplir con sus objetivos?

2 ¿Frente a los niveles de riesgo y oportunidad aceptables, la empresa evalúa y aprueba propuestas de umbrales de tolerancia al riesgo de TI?

3 ¿Determina la empresa el grado de alineación de la estrategia de riesgos de TI con la estrategia de riesgos empresariales?

4 ¿Con que frecuencia se evalúa los factores de riesgo de TI con anterioridad a las decisiones estratégicas de la empresa pendientes y se asegura que las decisiones de la empresa se toman conscientes de los riesgos?

5 ¿Con que frecuencia determina si el uso de TI está sujeto a una valoración y evaluación de

319


riesgos adecuada, según lo descrito en estándares nacionales e internacionales relevantes?

6 ¿Con que frecuencia la empresa evalúa las actividades de gestión de riesgos para garantizar su alineamiento con las capacidades de la empresa para las perdidas relacionadas con TI y la tolerancia de los líderes a los mismos?

Orientar la gestión de riesgos. 7 ¿Promueve una cultura

consciente de los riesgos TI e impulsa a la identificación proactiva de riesgos TI, oportunidades e impactos potenciales en el negocio?

8 ¿Orienta la integración de las operaciones y la estrategia de riesgos de TI con las decisiones y operaciones empresariales estratégicas?

9 ¿Con que frecuencia se orienta a la elaboración de planes de comunicación de riesgos, así como los planes de acción de riesgo?

10 ¿Con que periodicidad se orienta la implantación de mecanismos apropiados para responder rápidamente a los riesgos cambiantes y se notifica a los niveles adecuados de

320


gestión? Supervisar la gestión de riesgos 11 ¿Con que regularidad, se

supervisa hasta qué punto se gestiona el perfil de riesgo dentro de los umbrales de apetito de riesgo?

12 ¿Con que regularidad se supervisan las metas y métricas clave de gestión de los procesos de gobierno y gestión del riesgo respecto a los objetivos?

13 ¿Se facilita la revisión por las partes interesadas del progreso de la empresa hacia los objetivos identificados?

14 ¿Se Informa cualquier problema de gestión de riesgos al Consejo o al Comité de Dirección?

321

Anexo N° 03: Matrices de juicio de expertos

330

Anexo N° 04: Aplicación del Método Alfa de Cronbach para estimar la fiabilidad

del modelo propuesto

Tabla 78 Análisis comparativo del juicio de expertos

Proceso Objetivo EXPERTO 1 EXPERTO 2 EXPERTO 3

Fase 1: Definir el Contexto

Definir Contexto Interno

Definir parámetros básicos internos para alcanzar los objetivos estratégicos de la organización

3.5 5 4

Definir Contexto Externo

Definir parámetros básicos externos para alcanzar los objetivos estratégicos de la organización

Fase 2: Crear Perfil de Activos

Identificar los conocimientos de dirección

Captar el conocimiento desde el punto de vista de la alta dirección para identificar los activos importantes, las áreas que están involucradas, los requerimientos de seguridad y las estrategias actuales de protección y vulnerabilidades organizacionales

4 5 5

Identificar los conocimientos en el área de gestión operativa

Captar el conocimiento desde el punto de vista de los gerentes y jefaturas, para identificar los activos importantes, las áreas que están involucradas, los requerimientos de seguridad y las estrategias actuales de

331


protección y vulnerabilidades organizacionales

Identificar los conocimientos de personal

Captar el conocimiento desde el punto de vista del personal operativo, para identificar los activos importantes, las áreas que están involucradas, los requerimientos de seguridad y las estrategias actuales de protección y vulnerabilidades organizacionales

Identificar activos a gestionar

Determinar los activos de mayor importancia, de acuerdo al puntaje obtenido desde los distintos puntos organizacionales: dirección, gestión operativa y personal

Fase 3: Identificar los Riesgos

Clasificación de Activos

Clasificar los activos críticos, identificados en la fase 2, en las categorías establecidas por el método MAGERIT

3.5 5 4.75 Dependencia de Activos

Identificarlos activos y establecer la relación de dependencia

Valoración de Activos

Valorar el grado de importancia de cada activo teniendo en cuenta criterios de

332


disponibilidad, integridad y confidencialidad.

Identificación de las Amenazas y Vulnerabilidades

Identificar las vulnerabilidades y amenazas de los activos valorizados en la actividad anterior.

Fase 4: Análisis de Riesgos

Determinación de Probabilidad

Determinar el valor de la probabilidad de que una amenaza se materialice a causa de una determinada vulnerabilidad.

3.33 4.67 5.00 Análisis de Impacto

Medir los efectos adversos resultantes de la materialización de una amenaza para cada uno de los riesgos identificados para cada activo crítico.

Determinación del riesgo

Determinar el nivel del riesgo a través de los valores sensibilidad de activos, análisis de vulnerabilidad y análisis de amenaza

Fase 5: Evaluación del riesgo

Elaboración de la matriz de clasificación del riesgo

Clasificar a los riesgos según su prioridad de tratamiento

4 4 5

Valorización del riesgo

Evaluar mediante la medición de los dos parámetros que lo determinan, la magnitud de la pérdida o daño posible, y la

333


probabilidad que dicha pérdida o daño llegue a ocurrir.

Fase 6: Políticas y administración de Riesgos

Plan de seguridad Identificación de proyectos de seguridad 4 4 4 Plan de Ejecución

Fase 7: Monitorización y Revisión

Monitoreo

Ejecutar para obtener datos para el procesamiento de los indicadores

2 4 4

Identificar las características del objetivo del proyecto para determinar el indicador de medición Identificar la medida de lo logrado en la aplicación del procesamiento

Revisión

Identificar medidas correctivas para mejorar los resultados obtenidos

Tabla 79 - Proceso del cálculo de Alfa de Cronbach

FASE 1 FASE 2 FASE 3 FASE 4 FASE 5 FASE 6 FASE 7 TOTAL

EXPERTO 1 3.5 4 3.5 3.33 4 4 2 24.33

EXPERTO 3 4 5 4.75 5.00 5 4 4 31.75

334

EXPERTO 2 5 5 5 4.67 4 4 4 31.67

ESTADISTICOS

VARIANZA 0.58 0.33 0.65 0.78 0.33 0.00 1.33

K 7

∑Vi 4.01

Vt 18.13

SECCION 1 1.17

SECCION 2 0.78

ABSOLUTO SECCION2 0.78

α 0.90884718

335

Anexo N° 05: Aplicación del método de coeficiente de Kendall para estimar la

fiabilidad del modelo propuesto

Tabla 80 Procedimiento de cálculo del coeficiente de Kendall

FASE 1 FASE 2 FASE 3 FASE 4 FASE 5 FASE 6 FASE 7 EXPERTO 1 3.5 4 3.5 3.33 4 4 2

EXPERTO 3 4 5 5 4.67 4 4 4 EXPERTO 2 5 5 5 4.67 4 4 4 12.5 14 13.5 12.66 12 12 10 12.380952

n 7

m 3

Numerador 119.14

Denominador 3024

W 0.04

chi-cuadrado 0.71

gl 6

Valor de p 0.994

336

Anexo N° 06: Documentos que sustentan la aplicación del modelo en el caso de

estudio

339

Anexo N° 07: Propuestas de cotizaciones para proyectos de seguridad para el

tratamiento de riesgos identificados.

MODELO DE GESTIÓN DE RIESGOS DE TI QUE ......conceptos de gestión de riesgos de TI no son...

Documents

Transcript of MODELO DE GESTIÓN DE RIESGOS DE TI QUE ......conceptos de gestión de riesgos de TI no son...